آیا توابع htmlentities, real_scape_str و preg_match می تونن جلوی بایپس کردن رو بگیرن؟

i-php-i · Sep 26, 2011

آیا توابع htmlentities, real_scape_string و preg_match می تونن جلوی بایپس کردن رو بگیرن؟

من کلا برای امنیت سایتم از این سه تابع استفاده می کنم، لطفا بگید این سه تابع می تونن همه حملات به دیتابیس از جمله حمله از طریق بایپس کردن رو خنثی کنن؟

Cyletech · Sep 27, 2011

شما کلاً نباید برای امنیت نرم افزارت تکیه به این سه تابع کنی. هر کدوم ویژگی های خودش رو دارن. مثلاً من می تونم از طریق حمله CSRF نرم افزارت رو هک کنم. آیا تو این حمله از تابع خاصی استفاده میشه؟ نه! یکی از حملات SQL Injection و XSS هست که از طریق توابعی چون mysql_real_escape_string جلوگیری میشه. ... بحث امنیت خیلی پیچیدست. باید مقالات زیادی رو بخونی.

i-php-i · Sep 27, 2011

شما کلاً نباید برای امنیت نرم افزارت تکیه به این سه تابع کنی. هر کدوم ویژگی های خودش رو دارن. مثلاً من می تونم از طریق حمله csrf نرم افزارت رو هک کنم. آیا تو این حمله از تابع خاصی استفاده میشه؟ نه! یکی از حملات sql injection و xss هست که از طریق توابعی چون mysql_real_escape_string جلوگیری میشه. ... بحث امنیت خیلی پیچیدست. باید مقالات زیادی رو بخونی.

من کلی گفتم. درسته خیلی از روشهای دیگه هم هست که می شه باهاشون وب سایت رو هک کرد. اما بیشتر از xss و sql injection صحبت می شه.

آیا برای مقابله با xss و sql injection همین سه تابع کافی هستن؟
اگر جاههایی که احتمال می ره این حملات رخ بده از این سه تابع استفاده کنیم، می تونیم مطمئت باشیم که جلوی حملات رو گرفتیم؟

Cyletech · Sep 27, 2011

اما بیشتر از xss و sql injection صحبت می شه.

چون راحت ترین روش هک کردنه و اغلب برنامه نویسایی که تازه شروع کردن حواسشون به این مورد نیست.

آیا برای مقابله با xss و sql injection همین سه تابع کافی هستن؟

نمیشه گفت 100% کافیه ولی تاحد زیادی جلوی نفوذگرای خوب بد زشت رو می گیره.

jalaladdin · Sep 27, 2011

لطفا درمورد این حمله csrf بیشتر توضیح دهید

Cyletech · Sep 27, 2011

لطفا درمورد این حمله csrf بیشتر توضیح دهید

شما لطفاً برید گوگل اونجا جستجو کنید (308 تا پست دادی همشونم سوال فقط 56 تا تشکر کردی با اینکه به تمام سوال هات پاسخ داده شده - قبلاً هم گفتم من به تو یکی جواب نمیدم)