רוטר - אשכול טיפים לאבטחת מידע

יומן פעילות	לוח שנה	מבזקי חדשות	תקנון	RSS	כותרות	כותרות לפי תגובה	ניקוי קוקיז	IP	להורדת אפליקציה
eBay	AliExpress	GearBest	Amazon	Booking	Kiwi	SkyScanner	Trip Advisor

"אשכול טיפים לאבטחת מידע"

גירסת הדפסה

קבוצות דיון פיתוח, תיכנות ובניית אתרים נושא #20359	מנהל סגן המנהל מפקח Winner צל"ש מומחה

אשכול מספר 20359

דוקטור חייק

חבר מתאריך 14.12.06
40783 הודעות, 13 פידבק

17:39 22.11.13

אשכול טיפים לאבטחת מידע

חשבתי על שאולי כדאי שנעשה כולנו ביחד איזה אשכול טיפים לכל מיני הגנות אבטחת מידע
תכלס לא אשקר ואגיד שאני פותח את האשכול יותר כדי ללמוד ממכם
אבל זה יכול להיות נחמד אם נפתח קטגוריות
PHP\JAVASCRIPT\.NET ועוד.. ומתחת לכל קטגוריה כל משתמש יתן איזה טיפ או שניים..

אני אתחיל רק כדי להראות לאיזה אשכול אני שואף, מה יש לנו להפסיד ?

שתף

מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד

האשכול	מחבר	תאריך כתיבה	מספר
שרשור טיפים הקשורים ל- PHP	דוקטור חייק	22.11.13 17:41	1
INSERT בטוח לטבלת SQL בעזרת mysql_real_escape_string	דוקטור חייק	22.11.13 17:52	2
לא הייתי אומר שזה הפתרון האופטימלי,	last_test	22.11.13 18:18	3
מעולה אחלה דרך, כפי שכתבתי אני גם שואף ללמוד מההמלצות שלכם :)	דוקטור חייק	22.11.13 21:23	4
עברו שנתיים, היום אני עובד רק עם Prepared statements, תודה על ההמלצה !	דוקטור חייק	16.04.15 17:58	5

דוקטור חייק

חבר מתאריך 14.12.06
40783 הודעות, 13 פידבק

17:41 22.11.13

1. שרשור טיפים הקשורים ל- PHP
בתגובה להודעה מספר 0

(ניהול: מחק תגובה)

מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד

דוקטור חייק

חבר מתאריך 14.12.06
40783 הודעות, 13 פידבק

17:52 22.11.13

2. INSERT בטוח לטבלת SQL בעזרת mysql_real_escape_string
בתגובה להודעה מספר 1

ערכתי לאחרונה בתאריך 22.11.13 בשעה 17:58 בברכה, דוקטור חייק

טוב,
כולנו שמענו מליון פעם על הפירצה המפורסמת של sql injection
ולי באופן אישי כבר כואב הראש מהנושא שבכל שנה בכנס אבטחת מידע מדברים עליו וחושבים שגילו את אמריקה.
לחדשים שלא יודעים על מה מדובר, בקצרה -
נניח אתם רוצים לעשות את ה- INSERT הבא:
select * from table where user='A' and password = 'b' and status=1
ואתם מקבלים מהמשתמש בקלט את את הערך הבא כסיסמא: b' or password <> 'b
אז בעצם מה שיוצא זה:
select * from table where user='A' and password = 'b' or password <> 'b' and status=1
והופ יש פירצה.
בקיצור יש פונקציה מגניבה ב- PHP שבודקת שתוכן השדה מתאים ל- MYSQL ומתאימה את התוכן.
הפונקציה היא mysql_real_escape_string
הנה אתר המסביר על הפקודה:
http://www.w3schools.com/php/func_mysql_real_escape_string.asp
ועוד אתר:
http://php.net/manual/en/function.mysql-real-escape-string.php

אגב הוספתי לדוגמא את ה- and status=1 כי הטקסט מוצג מימין לשמאל אז כדי שיהיה אפשר לראות טוב את הגרש

(ניהול: מחק תגובה)

מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד

last_test
חבר מתאריך 20.8.13
328 הודעות

18:18 22.11.13

3. לא הייתי אומר שזה הפתרון האופטימלי,
בתגובה להודעה מספר 2

יש היום משהו שנקרא Prepared statements, בקצרה זה נותן לעשות binding לפרמטרים בתוך השאילתא ומכסה גם את החלק של ה-SQL Injection.
הייתרונות הם די ברורים, אפשר להשתמש באותה שאילתא מספר פעמים עם פרמטרים שונים + בטחון מוחלט מול SQL Injections.
http://php.net/manual/en/pdo.prepared-statements.php

(ניהול: מחק תגובה)

מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד

דוקטור חייק

חבר מתאריך 14.12.06
40783 הודעות, 13 פידבק

21:23 22.11.13

4. מעולה אחלה דרך, כפי שכתבתי אני גם שואף ללמוד מההמלצות שלכם :)
בתגובה להודעה מספר 3

(ניהול: מחק תגובה)

מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד

דוקטור חייק

חבר מתאריך 14.12.06
40783 הודעות, 13 פידבק

17:58 16.04.15

5. עברו שנתיים, היום אני עובד רק עם Prepared statements, תודה על ההמלצה !
בתגובה להודעה מספר 3

זה רק מראה כמה אשכול שכזה הוא חשוב,
מקפיץ בשביל ניסיון שני לארגן כאן אשכול מרוכז של אבטחת מידע/נתונים.

(ניהול: מחק תגובה)

מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד