Visualizzazione dei risultati da 1 a 6 su 6
  1. #1

    Problema attacco a script sql Injection

    Ciao a tutti per prevenire eventuali attacchi SQL Injection potrebbe essere utile questo codice?

    Codice PHP:
    <?php 
    // per ottenere l'url che ha generato l'errore
    $where "http://$HTTP_HOST$REQUEST_URI"
    $ip$_SERVER['REMOTE_ADDR'];
    $query_string$_SERVER['QUERY_STRING'];
    $http_referrer$_SERVER['HTTP_REFERER'];
    echo 
    "$where 
     
    $ip 
     
    $query_string 
     
    $http_referrer 
     
    $user_agent";

    if (
    stristr($query_string,'+union+') OR stristr($query_string,'%20union%20') OR
    stristr($query_string,'*/union/*') OR stristr($query_string,' union ') )
    {
    echo 
    "Hai utilizzato il comando sql UNION";
    exit();
    }
    if (
    stristr($query_string,'+select+') OR stristr($query_string,'%20select%20') OR
    stristr($query_string,'*/select/*') OR stristr($query_string,' select ') )
    {
    echo 
    "Hai utilizzato il comando sql SELECT";
    exit();
    }
    if (
    stristr($query_string,'+delete+') OR stristr($query_string,'%20delete%20') OR
    stristr($query_string,'*/delete/*') OR stristr($query_string,' delete ') )
    {
    echo 
    "Hai utilizzato il comando sql DELETE";
    exit();

    }
    if (
    stristr($query_string,'+drop+') OR stristr($query_string,'%20drop%20') OR
    stristr($query_string,'*/drop/*') OR stristr($query_string,' drop ') )
    {
    echo 
    "Hai utilizzato il comando sql DROP";
    exit();

    }
    if (
    stristr($query_string,'+insert+') OR stristr($query_string,'%20insert%20') OR
    stristr($query_string,'*/insert/*') OR stristr($query_string,' insert ') )
    {
    echo 
    "Hai utilizzato il comando sql INSERT";
    exit();

    }
    ?>
    grazie ciao

  2. #2

  3. #3

  4. #4
    Moderatore di Server Apache L'avatar di marketto
    Registrato dal
    Sep 2001
    Messaggi
    5,858
    tutto dipende dall'uso che farai di $_SERVER['QUERY_STRING'];


    prova a spiegare come viene usata...

    think simple think ringo

  5. #5
    Utente di HTML.it L'avatar di M4rko
    Registrato dal
    Dec 2000
    Messaggi
    619
    Controllare solo la query string non garantisce sicurezza
    I controlli falli su $_POST, $_GET ed eventualmente $_COOKIE (a dire il vero anche su alcune variabili $_SERVER, soprattutto quelle che iniziano con HTTP_*), utilizzando di volta in volta la tecnica piu appropriata (casting se hai dei numeri, regexp per controllare un pattern, escape delle stringhe, ecc.)
    Tutti hanno bisogno di credere in qualcosa.
    Io credo che mi farò un'altra birra.


  6. #6
    Originariamente inviato da M4rko
    Controllare solo la query string non garantisce sicurezza
    I controlli falli su $_POST, $_GET ed eventualmente $_COOKIE (a dire il vero anche su alcune variabili $_SERVER, soprattutto quelle che iniziano con HTTP_*), utilizzando di volta in volta la tecnica piu appropriata (casting se hai dei numeri, regexp per controllare un pattern, escape delle stringhe, ecc.)
    indubbiamente controllo anche post e get!!! Questo script serve per controllare anche la query string...

Permessi di invio

  • Non puoi inserire discussioni
  • Non puoi inserire repliche
  • Non puoi inserire allegati
  • Non puoi modificare i tuoi messaggi
  •  
Powered by vBulletin® Version 4.2.1
Copyright © 2025 vBulletin Solutions, Inc. All rights reserved.