Меню
Что нового?

защита с помощью проверки урл

__SP1RiT__

Новичок
защита с помощью проверки урл

Привет.

Задумался о безопасности. Будет ли сайт нормально защищён если в самом начале кода вести проверку урл ?
На сайте всё работает через мод_реврайт. Я написал патерны, которые сходятся только с RewriteRule, иначе выдавать 404.

Плиз прокоментируйте.

ЗЫ проверка также идёт внутри каждой функции, но всё же хочется большей безопасности.
 

__SP1RiT__

Новичок
sql инъекция
xss

-~{}~ 26.08.06 22:11:

проверка в функциях, являются ли переменные числами или цифрами (в зависимости, что за переменная)
 
Фанат

Фанат

oncle terrible
Команда форума
во, теперь что-то реальное.
по пунктам
1. sql инъекция
никакая защита от sql инъекция не нужна вообще.
надо всего лишь соблюдать синтаксис sql
следовательно, никаких проверок не нужно, тем более - на уровне урл.
2. xss. непонятно, при чём здесь, опять же ,урл, если xss касается только выводимой юзеру информации.

3. а проверку форм ты далаешь?
 

__SP1RiT__

Новичок
Фанат

>надо всего лишь соблюдать синтаксис sql
тем не менее находят всюду инъекции

проверки форм нету Ж(

Можешь пару дельных советов по теме дать или ссылки качающиеся защиты в php.
 
Фанат

Фанат

oncle terrible
Команда форума
тем не менее находят всюду инъекции
Нажмите для раскрытия...
что значит - "тем не менее"? а ты соблюдаешь?
Можешь пару дельных советов по теме дать или ссылки качающиеся защиты в php.
Нажмите для раскрытия...
могу дать одну ссылку, касающуюся sql инъекция и один совет.
только ссылку ты и так должен знать, а совет простой - обрабатывать при выводе через хтмлспециалчарс все те данные, которые пришли извне. ПРИ ВЫВОДЕ
 

__SP1RiT__

Новичок
а если в форму забили инъекцию, то как поможет спешлчарс при выводе ?

про какую ссылку ты говорил ?
 
Фанат

Фанат

oncle terrible
Команда форума
а если в форму забили инъекцию, то как поможет спешлчарс при выводе ?
Нажмите для раскрытия...
дружочек.
если ты не научишься читать, то тебе не помогут все ссылки мира.
скажи пожалуйста, что я там выше написал про инъекцию? что от неё защищает?

а ссылка очень простая. ты должен был читать её, когда на форуме регистрировался.
собственно, ты даже и писать сюда не имеешь права, если эту ссылку не читал
 
Crazy

Crazy

Developer
Автор оригинала: __SP1RiT__
а если в форму забили инъекцию, то как поможет спешлчарс при выводе ?
Нажмите для раскрытия...
Форма не ягодица, чтобы в нее можно было инъкцию забить. Как справедливо отмечено выше, если человек просто не тупит, работая с SQL, то никто и ничего инжектировать не сможет.

И никакой защиты помимо этого:

1. Не нужно
2. Создать невозможно
 

Kelkos

Сам себе программер
__SP1RiT__
а что ты защищаешь таким образом? Свой самописный сайт или какой то бесплатный продукт типа форума?
Если самописный сайт - то читай всё насоветованное.. если не своё - то тут все способы хороши.. но твой не гарантирует 100% безопасность.
 
Войдите или зарегистрируйтесь для ответа.
Сверху