ho fatto 1 piccolo guestbook per il mio sito dove tramite una banale insert metto i messaggi nel database.
per garantire una certa sicurezza avevo pensato di sostituire una serie di caratteri con lo spazio vuoto per evitare sql injection.
io sostituirei <,>,",'
ci sono altri caratteri "pericolosi"?altre possibili minacce da sventare?
grazie a tutti
Ti suggerisco di iniziare leggendo il manuale ufficiale:
http://www.php.net/manual/en/securit...-injection.php
Ed anche:
http://php.html.it/guide/leggi/121/g...urezza-di-php/
Ti basta utilizzare htmlentities() prima di memorizzare la variabile in database
questo per quanto riguarda l'SQL injection.Codice PHP:$testo = htmlentities($_POST['testo']);
mysql_query("INSERT INTO tabella (testo) VALUES ('$testo')");
Quando devi stampare il testo, dovrai riconvertire le entità in codice html:
A questo punto però sei vulnerabile agli attacchi XSS.Codice PHP:$row = mysql_fetch_assoc(mysql_query("SELECT testo FROM tabella"));
$testo = html_entity_decode($row['testo']);
Per fare ciò devi eliminare tag come <script> e <iframe>
Questo è un modo, ma ve ne sono molti altriCodice PHP:function strip_selected_tags($text, $tags = array()) {
$args = func_get_args();
$text = array_shift($args);
$tags = func_num_args() > 2 ? array_diff($args,array($text)) : (array)$tags;
foreach ($tags as $tag){
if(preg_match_all('/<'.$tag.'[^>]*>([^<]*)<\/'.$tag.'>/iu',$text,$found) ){
$text = str_replace($found[0],$found[1],$text);
}
}
return @$text;
}
$strip = array('iframe','script');
$testo = strip_selected_tags($testo,$strip);
grazie 1000 per il codice di esempio e per i link
Per favore, se non hai le competenze necessarie, ti prego di non dare suggerimenti in merito alla sicurezza.Originariamente inviato da mem
Ti basta utilizzare htmlentities() prima di memorizzare la variabile in database
questo per quanto riguarda l'SQL injection.Codice PHP:$testo = htmlentities($_POST['testo']);
mysql_query("INSERT INTO tabella (testo) VALUES ('$testo')");
L'utilizzo di htmlentities() (senza ENT_QUOTES) NON protegge da SQL Injection. Con magic quotes disattivi, il codice che hai postato e' aperto a SQL Injection (gli apici singoli non vengono escapati ne convertiti).
ma tralasciando un attimo che il messaggio verrebbe leggermente storpiato, ma se io sostituissi tutti i caratteri speciali con uno spazio dovrei essere al sicuro da qualunque attacco giusto?
non permettendo a nessuno di inserire codice javascript,php o query sql..
Perche' "storpiare" un messaggio se basta utilizzare le funzioni di escaping fornite dal PHP?
Ehm, se mi sono dimenticato di mettere un argomento dalla fretta, non hai bisogno di passare per il via con la bocca piena di roba poco commestibile, non stiamo giocando a monopoli, è sufficiente correggere il mio errore... a me mamma ha insegnato un pochino di educazioneOriginariamente inviato da filippo.toso
Per favore, se non hai le competenze necessarie, ti prego di non dare suggerimenti in merito alla sicurezza.
L'utilizzo di htmlentities() (senza ENT_QUOTES) NON protegge da SQL Injection. Con magic quotes disattivi, il codice che hai postato e' aperto a SQL Injection (gli apici singoli non vengono escapati ne convertiti).
Un quesito:Questo è un modo, ma ve ne sono molti altri
mi sto impratichendo con le espressioni regolari.
se nel form/login autorizzo solo i caratteri della classe [a-z,A-Z]...
non sarei già a posto ?
stefano
No perché io malintenzionato potre provocandoti un SQL injection anche attraverso la password, e questo vale per tutti i campi che interagiscono con le query del tuo database
Se ad esempio il tuo controllo nella query fosse il seguente:
Potrei inviare come password la seguente stringa: ' OR 1='1Codice PHP:"SELECT * FROM utenti WHERE user='".$_POST['user']."' AND pass='".$_POST['password']."'"
con questo risultato:
Non importa quale valore assumeranno user e pass, io ho un 1=1 il quale è sempre vero, ottenendo probabilmente l'accesso alle pagine riservateCodice PHP:"SELECT * FROM utenti WHERE user='xxxx' AND pass='' OR 1='1'"
Se invece converto gli apici nella sua entità html, cioè &#039; otterrei:
in cui la password è &#039; OR 1=&#039;1 ottenendo login erratoCodice PHP:"SELECT * FROM utenti WHERE user='xxxx' AND pass='' OR 1='1'"
Permessi di invio
Rispondi quotando