اخطار هك سايت

se135954 · #1 12-05-2009, 07:27 AM

سلام و خسته نباشيد.
چند روز توي بخش مديريت وب سايتم برام پيام اومده بود كه سايتم از نظر امنيتي مشكل داره و يكي از textarea ها كه براي كاربرا براي ويرايش قالب وبلاگشون هستش مي شه دستوراتي رو فرستاد كه كل ديتا بيس سايتم رو براي دانلود مي ذاره.
به نظر شما چكار كنم؟
من دستوراتي كه ديتا بيس رو براي دانلود مي ذاره رو نمي دونم چي هستند.؟؟؟؟(فكر كنم sql injection هستش)
بايد textarea رو طوري تنظيم كنم كه اين دستورات فيلتر كنه؟؟؟؟

e.faryad · #2 12-08-2009, 11:56 AM

می تونی با دستور

کد PHP:


			
$finalValue= addslashes($finalValue);

تمام تگ ها رو غیر فعال کنی و یا با دستور

کد PHP:


			
$finalValue= strip_tags ($finalValue);

تمام تگ ها رو حذف کنی. البته این کد ها رو قبل از اینکه به برنامه تحویل بدی باید اعمال کنی!

کد PHP:


			
$finalValue= htmlspecialchars($finalValue);

اینم دستوری که تمام کاراکترهای خاص رو با کدهاشون در html جایگزین می کنه.

کد PHP:


			
    function  authentication( $value , $type , $default ) 

    { 

        switch($type) 

         { 

            case "int":     

                if(is_numeric($value)){$finalValue=$value;}else{$finalValue=$default;}    

            break;  

            case "char":   

                $finalValue=$value;    

            break;     

        } 

        $finalValue= mysql_real_escape_string($finalValue); 

        $finalValue= addslashes($finalValue); 

        $finalValue= strip_tags ($finalValue); 

        $finalValue= eregi_replace('ي','ی',$finalValue);

        $finalValue= htmlspecialchars($finalValue);

        return $finalValue; 

    }

اینم تابعی که من ازش استفاده می کنم.

کد PHP:


			
    $titr    =    authentication( $_POST['titr'], "char" , "");

اینم روش استفادش.
امیدوارم مفید باشه. اگه کاملش کردین به من هم خبر بدین.

se135954 · #3 12-09-2009, 05:12 AM

امروز حتما روش كار مي كنم و بهتون اطلاع مي دم

ابزارهای موضوع
پرینت این صفحه / حالت نمایش بصورت پرینت شده ارسال این صفحه به ایمیل یک دوست یا خودتان
نحوه نمایش
حالت خطی تعویض به حالت ترکیبی تعوض به حالت رشته ای