سلام
با توجه به این که هر سایتی مطرحی که احتمال حمله و سو استفاده وجود داره نیازمند امنیت خواهد بود این تاپیک رو ایجاد کردم تا با کمک دوستان حرفه ای و هر کسی که اطلاعاتی در زمینه database, php , inject , sql script داره مسائل امنیتی در سایت و حفره های نفوذی رو بررسی کنیم (البته تا جایی که دست ماست : یعنی برنامه نویس سایت)
بهتره خودم شروع کنم (البته با اجازه اساتید محترم):
بنظر من اولین و اساسی ترین حمله ها در اینترنت از طریق sql injection صورت می گیره که با یکسری عملیات حرفه ای کدهای sql رو از طریق متود های get یا post در سرور sql اجرا می کنن.
نمی خوام وارد بحث تخصصی این مبحث بشم چون می دونم حتی توی این فروم هم چند جا بحث شده اما یه function برای جلوگیری از inject نوشتم که برای دوستان میذارم (البته اگر ایرادی داشت دوستان می تونن تکمیلش کنن)
PHP کد:
کد:
function sql_quote($string)
{
if(get_magic_quotes_gpc())
{
return stripslashes($string);
}
//check if this function exists
if(function_exists( "mysql_real_escape_string" ))
{
return mysql_real_escape_string($string);
}
//for PHP version < 4.3.0 use addslashes
else
{
return addslashes($string);
}
}
این تابع کاراکترهایی که در sql حالت اجرایی دارند رو تبدیل به کاراکتر های معادل و یا غیر فعال می کنه:
مثال: کاراکتر ' را به کاراکتر /' تبدیل می کنه.
بررسی امنیت سایت در برنامه نویسی
نمي كنيد
پاسخ با نقل قول
