The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"MySQL injection and other malicious input"
Вариант для распечатки  
Пред. тема | След. тема 
Форум WEB технологии (PHP)
Изначальное сообщение [ Отслеживать ]

"MySQL injection and other malicious input"  +/
Сообщение от handler2006 email(ok) on 16-Дек-11, 06:55 
Здравствуйте!
Вчера обнаружил на моем сайте вставленную пользователем строку через $_POST:
<script>alert(123)</script>
Начал искать статьи по валидации пользовательского ввода и все, что я нашел, это:
mysql_real_escape_string
как способ защиты от MySQL инъекций.
Где и что еще можно почитать о методах защиты сайта от подобного рода пользовательского ввода?
Спасибо.
Алексей
Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "MySQL injection and other malicious input"  +/
Сообщение от Аноним (??) on 16-Дек-11, 09:56 
>[оверквотинг удален]
> Вчера обнаружил на моем сайте вставленную пользователем строку через $_POST:
> <script>alert(123)</script>
> Начал искать статьи по валидации пользовательского ввода и все, что я нашел,
> это:
> mysql_real_escape_string
> как способ защиты от MySQL инъекций.
> Где и что еще можно почитать о методах защиты сайта от подобного
> рода пользовательского ввода?
> Спасибо.
> Алексей

А проверять на уровне приложения введенные пользователем данные не пробовали? Чтоб он элементарно не ввел слово туда, где надо писать числа и т.д.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "MySQL injection and other malicious input"  +/
Сообщение от handler2006 email(ok) on 16-Дек-11, 10:04 
В конкретном случае это было название создаваемой темы на форуме
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

4. "MySQL injection and other malicious input"  +/
Сообщение от Square (ok) on 22-Дек-11, 08:55 
>  В конкретном случае это было название создаваемой темы на форуме

лучше всего конечно проводить проверку на уровне доступа пользователя к браузеру.. чтобы он не вводил лишних тем на форумах...

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

3. "MySQL injection and other malicious input"  +/
Сообщение от cryo (ok) on 16-Дек-11, 11:09 
Смотрите HtmlSpecialChars()
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

5. "MySQL injection and other malicious input"  +/
Сообщение от handler2006 email(ok) on 22-Дек-11, 12:03 
htmlspecialchars, mysql_real_escape_string + проверки дают некоторую степень защиты
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2021 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру