ABA
יומן פעילות לוח שנה מבזקי חדשות תקנון RSS כותרות כותרות לפי תגובה ניקוי קוקיז IP להורדת אפליקציה
eBay AliExpress GearBest Amazon Booking Kiwi SkyScanner Trip Advisor


"איך אתם מונעים SQL Injection ו- XSS?"
גירסת הדפסה        
קבוצות דיון בניית אתרים נושא #11892 מנהל    סגן המנהל    מפקח   Winner    צל"ש   מומחה  
אשכול מספר 11892
CaTz
חבר מתאריך 2.10.04
14537 הודעות, דרג אמינות חבר זה 		   00:20   13.04.07   
אל הפורום  
  איך אתם מונעים SQL Injection ו- XSS?  
 
   טוב אז אני הייתי 16 יום באבת"ש וחיפשתי לעצמי תכנים מעניינים וארוכים לקרוא באינטרנט דרך הפלא.

חיפשתי וחיפשתי עד שמצאתי את הנושא הכי מעניין אותי בתור בונה אתרים ולאחר מכן גיליתי דברים מדהימים.

אז איך אתם מונעים את SQL Injection וגם XSS?

מצאתי פול מידע לגבי פריצות, מתודות דרכים וכו'...

מידע לגבי Sql Injection
http://www.securiteam.com/securityreviews/5DP0N1P76E.html

Nידע לגבי XSS
http://www.testingsecurity.com/how-to-test/injection-vulnerabilities/XSS-Injection

תולעת שנקראת Samy שתקפה את MySapce והיא כולה XSS!
Samy בכבודו ובעצמו רשם איך הוא פיצח את ההגנות של האתר:
http://namb.la/popular/tech.html

מתודות פריצה בXSS
http://ha.ckers.org/xss.html

מתודות SQL Injection
http://www.jungsonnstudios.com/blog/?i=14&bin=1110

אז האם האתר שלכם באמת מוגן?

יש שם כתבות שבהן אומרים ש addslashes ממש לא מספיק על מנת
להוריד את האיום של Injection.

אז אני אשמח לשמוע איך כל אחד מתמודד עם הבעיות הכי בסיסיות בבניית אתרים!

תהנו אנשים מצפה לתגובות.


                                שתף        
מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד

  האשכול     מחבר     תאריך כתיבה     מספר  
  אממ ת'אמת akoka 13.04.07 00:46 1
  תודה גבר נראה מעניין נעשיר את הידע :) bmaorlo  13.04.07 01:50 2
     שמירות על גבי שמירות ישבתי CaTz 13.04.07 02:21 3
         אורך מחרוזת בתיבות טקסט אני מגביל+בודק בPHP akoka 13.04.07 02:24 4
             ברור שזה נעשה צד שרת השאלה שלי היא איך....חחחח CaTz 13.04.07 04:27 5
                 חחח שאלת איך אני מאבטח ת'אתר אמרתי לא בjs akoka 13.04.07 04:32 6
  תודה!! FireAngel 13.04.07 07:39 7
  או או מעניין מעניין :] LoVe2KiLL 13.04.07 16:23 8
  אני עובד עם מתודות שהכנתי לעצמי... ב ASP.NET. ותודה! Sn00py  13.04.07 16:27 9
     אפשר פירוט? CaTz 13.04.07 20:33 10
         באופן כללי Sn00py  13.04.07 21:03 11
  מגניב תודה שימושי =], רק שאלה. ronen333  14.04.07 11:28 12
     זה הקטע של ה''הזרקה'' CaTz 14.04.07 12:54 13
         והם עושים את זה ע''י שימוש בטופס או מה? ronen333  14.04.07 13:50 14
             בדיוק... CaTz 14.04.07 18:34 15
  אפשר עוד תגובות? דיי מעניין אותי איך אתם מתגוננים CaTz 19.04.07 18:31 16
     מכתב Morishani 19.04.07 18:33 17
         תודה רבה....מעניין :] CaTz 19.04.07 20:34 18
  אני בונה פונקציות מיוחדות עם בקרת קלט lior066 21.04.07 12:45 19

       
akoka

דרג אמינות חבר זה 		   00:46   13.04.07   
אל הפורום  
  1. אממ ת'אמת  
בתגובה להודעה מספר 0
 
   אצלי זה לפי החשק לפעמים אני משתמש ב mysql_real_escape_string ולפעמים בaddslashes האתר שלי אף פעם לא יהיה מוגן בJS בלבד אם כבר שאני עובד עם XML אף פעם לא שומר שם פרטים כמו סיסמאות אימיילים וכדומה


                                                         (ניהול: מחק תגובה)
מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד
bmaorlo 
חבר מתאריך 13.4.03
4770 הודעות, דרג אמינות חבר זה 		   01:50   13.04.07   
אל הפורום  
  2. תודה גבר נראה מעניין נעשיר את הידע :)  
בתגובה להודעה מספר 0
 
  


                                                         (ניהול: מחק תגובה)
מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד
CaTz
חבר מתאריך 2.10.04
14537 הודעות, דרג אמינות חבר זה 		   02:21   13.04.07   
אל הפורום  
  3. שמירות על גבי שמירות ישבתי  
בתגובה להודעה מספר 2
 
   שם וקראתי כל דבר אפשרי...

ואה...אני בכלל שכחתי לציין את הדרך שלי להתמודד (היא קצת ישנה)

strip_tags גיליתי שהיא עושה עבודה טובה מולךXSS
addslashes עובד לי מול sql injection עוד לא ניסיתי את העניין שרשום בכתבה לגבי יוניקוד

בדיקת ערכים מספריים כמובן
בדיקת אורך מחרוזות...


לילה טוב!


                                                         (ניהול: מחק תגובה)
מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד
akoka

דרג אמינות חבר זה 		   02:24   13.04.07   
אל הפורום  
  4. אורך מחרוזת בתיבות טקסט אני מגביל+בודק בPHP  
בתגובה להודעה מספר 3
 
   כמעט את כול הבדיקות שלי אני עושה בצד שרת הכול חוץ מajax ותפריטים נפתחים בJS נפתחים(אם שכחתי משהו תזכירו לי) הכול נעשה בצד שרת:/


                                                         (ניהול: מחק תגובה)
מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד
CaTz
חבר מתאריך 2.10.04
14537 הודעות, דרג אמינות חבר זה 		   04:27   13.04.07   
אל הפורום  
  5. ברור שזה נעשה צד שרת השאלה שלי היא איך....חחחח  
בתגובה להודעה מספר 4
 
   מצחיק אחד...


                                                         (ניהול: מחק תגובה)
מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד
akoka

דרג אמינות חבר זה 		   04:32   13.04.07   
אל הפורום  
  6. חחח שאלת איך אני מאבטח ת'אתר אמרתי לא בjs  
בתגובה להודעה מספר 5
 
   וכתבתי תגובה מעל איך


                                                         (ניהול: מחק תגובה)
מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד
FireAngel

דרג אמינות חבר זה 		   07:39   13.04.07   
אל הפורום  
  7. תודה!!  
בתגובה להודעה מספר 0
 
   אני עובד בשביל SQL INJECTION עם addslashes
ובשביל XSS עם htmlspecialchars/strip_tags

היום כשאחזור מבית ספר, אשקיע קריאה ואבדוק מה באמת כדאי לשנות אצלי.

תודה לך!!


                                                         (ניהול: מחק תגובה)
מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד
LoVe2KiLL
חבר מתאריך 6.7.04
13401 הודעות, דרג אמינות חבר זה 		   16:23   13.04.07   
אל הפורום  
  8. או או מעניין מעניין :]  
בתגובה להודעה מספר 0
 
אני עובד עם htmlspecialchars בשביל XSS ובשביל Injection אני עובד עם mysql_real_escape_string ובסופו של דבר עושה trim

אני אעביר קריאה על המאמרים פה נראה איפה אני יכול להשתפר


                                                         (ניהול: מחק תגובה)
מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד
Sn00py 
חבר מתאריך 1.8.02
2954 הודעות, דרג אמינות חבר זה 		   16:27   13.04.07   
אל הפורום  
  9. אני עובד עם מתודות שהכנתי לעצמי... ב ASP.NET. ותודה!  
בתגובה להודעה מספר 0
 
   ערכתי לאחרונה בתאריך 13.04.07 בשעה 16:28 בברכה, Sn00py
 

\x6C\x65\x65\x74\x68\x61\x78\x30
\x72\x3A\x2D\x29
tresp4sser


                                                         (ניהול: מחק תגובה)
מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד
CaTz
חבר מתאריך 2.10.04
14537 הודעות, דרג אמינות חבר זה 		   20:33   13.04.07   
אל הפורום  
  10. אפשר פירוט?  
בתגובה להודעה מספר 9
 
   :]


                                                         (ניהול: מחק תגובה)
מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד
Sn00py 
חבר מתאריך 1.8.02
2954 הודעות, דרג אמינות חבר זה 		   21:03   13.04.07   
אל הפורום  
  11. באופן כללי  
בתגובה להודעה מספר 10
 
   יש לי מתודה שעושה בדיקה IS NUMERIC וגם אפשרות(בפולימורפיזם, אם אתה יודע קצת OOP) לקבל פרמרטים(אופציונליים) לטווחים, וכל מני שטויות.

ועוד מתודה אחת, שבעצם משתמשת במתודה המוכנה Regex.Escape(חפש בגוגל אם אתה לא מכיר) וגם מוסיפה עוד כמה דברים משלי...

באופן כללי אם מישהו צריך את זה אז אני קצת אעבוד על כמה פרטים אחרונים שם שאף פעם באמת לא היה לי זמן לסדר, ואני אעלה לכאן.

\x6C\x65\x65\x74\x68\x61\x78\x30
\x72\x3A\x2D\x29
tresp4sser


                                                         (ניהול: מחק תגובה)
מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד
ronen333 
חבר מתאריך 20.2.03
6069 הודעות, דרג אמינות חבר זה 		   11:28   14.04.07   
אל הפורום  
  12. מגניב תודה שימושי =], רק שאלה.  
בתגובה להודעה מספר 0
 
   לפי ריפרוף קל זה בעצם פקודות SQL שאנשים מריצים על השרת.
עכשיו השאלה שלי איך הם מריצים אותם אם אין להם גישה לשרת?


                                                         (ניהול: מחק תגובה)
מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד
CaTz
חבר מתאריך 2.10.04
14537 הודעות, דרג אמינות חבר זה 		   12:54   14.04.07   
אל הפורום  
  13. זה הקטע של ה''הזרקה''  
בתגובה להודעה מספר 12
 
   שבמקום שהשרת יבצע רק את השאילותות שהמתכנת האתר קבע
זה גם מבצע שאילתות שהמשתמש מכניס כגון הוספת מנהל חדש וכל דבר זדוני אחר


                                                         (ניהול: מחק תגובה)
מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד
ronen333 
חבר מתאריך 20.2.03
6069 הודעות, דרג אמינות חבר זה 		   13:50   14.04.07   
אל הפורום  
  14. והם עושים את זה ע''י שימוש בטופס או מה?  
בתגובה להודעה מספר 13
 
  


                                                         (ניהול: מחק תגובה)
מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד
CaTz
חבר מתאריך 2.10.04
14537 הודעות, דרג אמינות חבר זה 		   18:34   14.04.07   
אל הפורום  
  15. בדיוק...  
בתגובה להודעה מספר 14
 
  


                                                         (ניהול: מחק תגובה)
מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד
CaTz
חבר מתאריך 2.10.04
14537 הודעות, דרג אמינות חבר זה 		   18:31   19.04.07   
אל הפורום  
  16. אפשר עוד תגובות? דיי מעניין אותי איך אתם מתגוננים  
בתגובה להודעה מספר 0
 
  


                                                         (ניהול: מחק תגובה)
מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד
Morishani

דרג אמינות חבר זה 		   18:33   19.04.07   
אל הפורום  
  17. מכתב  
בתגובה להודעה מספר 16
 
   http://shiflett.org/php-security.pdf


                                                         (ניהול: מחק תגובה)
מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד
CaTz
חבר מתאריך 2.10.04
14537 הודעות, דרג אמינות חבר זה 		   20:34   19.04.07   
אל הפורום  
  18. תודה רבה....מעניין :]  
בתגובה להודעה מספר 17
 
  


                                                         (ניהול: מחק תגובה)
מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד
lior066

דרג אמינות חבר זה 		   12:45   21.04.07   
אל הפורום  
  19. אני בונה פונקציות מיוחדות עם בקרת קלט  
בתגובה להודעה מספר 0
 
   כל דבר עם בקרת קלט למניעת בעיות אבטחה חובה ביותר בחיים אל תשאיר משהו פתוח , לכל פונקצי שלך תעשה בקרת קלט של מאיפה הפקודה הגיעה.


                                                         (ניהול: מחק תגובה)
מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד

תגובה מהירה  למכתב מספר: 
 
___________________________________________________________________

___________________________________________________________________
למנהלים:  נעל | תייק בארכיון | מחק | העבר לפורום אחר | מחק תגובות | עגן אשכול
       



© כל הזכויות שמורות ל-רוטר.נט בע"מ rotter.net