نظرتون در مورد این تابع امنیتی چی هست؟

phpweb · Mar 16, 2011

من برای مقابله با اس کیو ال اینجکشن از تابع امنیتی زیر استفاده می کنم. لطفا بگید بنظر شما این تابع تا چه حد جلوی اس کیو ال اینجکشن رو می گیره؟

PHP:

function injection($str)
{
    $arr[]='.';
    $arr[]='-';
    $newarr[]='\.';
    $newarr[]='\-';
    $tstr=trim($str);
    $estr=htmlentities($tstr, ENT_QUOTES,'UTF-8');
    $sstr=htmlspecialchars($estr, ENT_QUOTES,'UTF-8');
    $mstr = str_replace($arr, $newarr, $sstr);
    return $mstr;
}

Army.Hidden · Mar 16, 2011

سلام
توی حملات Sql Injection باید خیلی هوشمندانه بری جلو .
مثلا جلوگیری از داده های که به صورت Hex یا َChar وارد میشن ( از این 2 تا برای ByPass کردن استفاده میشه )
بعد هم باید توی کد بالا "#" هم مورد نظر قرار میدادی کاربردش مثل "--" و "*/" هست.
کد یه جورایی تکمیل شده کد شما هست .

PHP:

function injection($str)
{
    $arr=array('.','-','#','/**/','/*');
    $tstr=addslashes($str);
    $estr=htmlentities($tstr, ENT_QUOTES,'UTF-8');
    $sstr=htmlspecialchars($estr, ENT_QUOTES,'UTF-8');
    $mstr = str_replace($arr,'', $sstr);
    return $mstr;
}

ولی باید روش کار کنم.
به زودی یک کلاس کامل برای مقابله با حملات مختلف آماده میکنم و در اختیار شما دوستان قرار میدم.

موفق باشید
حسین

phpweb · Mar 16, 2011

army.hidden گفت:
سلام
توی حملات sql injection باید خیلی هوشمندانه بری جلو .
مثلا جلوگیری از داده های که به صورت hex یا َchar وارد میشن ( از این 2 تا برای bypass کردن استفاده میشه )
بعد هم باید توی کد بالا "#" هم مورد نظر قرار میدادی کاربردش مثل "--" و "*/" هست.
کد یه جورایی تکمیل شده کد شما هست .

PHP:

function injection($str) { $arr=array('.','-','#','/**/','/*'); $tstr=addslashes($str); $estr=htmlentities($tstr, ent_quotes,'utf-8'); $sstr=htmlspecialchars($estr, ent_quotes,'utf-8'); $mstr = str_replace($arr,'', $sstr); return $mstr; }

ولی باید روش کار کنم.
به زودی یک کلاس کامل برای مقابله با حملات مختلف آماده میکنم و در اختیار شما دوستان قرار میدم.

موفق باشید
حسین