امنیت فرم و جلوگیری از sql injection و XSS

**maysam.m** · شنبه 28 اسفند 1389, 11:53 صبح

سلام

دارم یه فرمی طراحی میکنم که کاربران بتونند از طریق اون به سایت مطلب ارسال کنند.

از این تابع هم استفاده میکنم برای جلوگیری از sql injection و XSS . به نظر شما این تابع کارآمدِ و امنیت کاملا برای فرممون برقرار میشه؟



	function filter_input($dirty){

	$clean = strip_tags($dirty);	

    $clean = htmlentities($clean, ENT_QUOTES,'UTF-8');

	$clean = htmlspecialchars($clean, ENT_QUOTES,'UTF-8');

    return $clean;

	}

خوشحال میشم نظرتون رو بدونم.

**alonemm** · شنبه 28 اسفند 1389, 17:58 عصر

باسلام:
اين تابع خوبه اما بهتره رشته اصلي رو باز با SP ها به سمت پايگاه داده بفرستيد.

**maysam.m** · شنبه 28 اسفند 1389, 22:14 عصر

نوشته شده توسط alonemm

باسلام:
اين تابع خوبه اما بهتره رشته اصلي رو باز با SP ها به سمت پايگاه داده بفرستيد.

نوشته شده توسط UnnamE

حالا xss رو pass كردي
crsf رو ميخواي چيكا كني؟

لطف میکنید درباره این اصلاحاتی که گفتید بیشتر توضیح بدید؟

**maysam.m** · یک شنبه 29 اسفند 1389, 12:48 عصر

نوشته شده توسط UnnamE

Cross-site_request_forgery

سلام

این مطلب رو خوندم و از اونجایی که زبانم خیلی خوب نیست یه چیزایی متوجه شدم :دی
فکر کنم این روش از طریق مثلا آدرس عکس کار میکنه و با استفاده از سطح دسترسی های مدیر دستوراتی رو در سایت اجرا میکنه. و یا سوء استفاده از سشن و اسال فرم های فیک و ...

UnnamE جان لطف میکنی خودت هم یه توضیحی بدی؟

**binyaft** · یک شنبه 29 اسفند 1389, 14:58 عصر

این روش برای هک کردن هست :D
مثلا برای شما یه تصویر ارسال میشه ، مرورگر اون رو از سرور درخوسات میکنه ، فرض کنید به صورت زیر یه ادرس تصویر ارسال شده

http://localhost/?add-post=salam

مرورگر این درخواست رو میفرسته و اگر شما به فلان سایت لاگین کرده بشید ، مثل این هست که شما این دستور رو اجرا کردید و یک پست ارسال میشه !

این همه چیزی بود که من از این روش فهمیدم

پ.ن : فک کنم این UnnamE این روش رو رو سیستم من پیاده کرده :(

**UnnamE** · یک شنبه 29 اسفند 1389, 15:59 عصر

جناب totofa به مردم تمبك نزنيد!!!
چيزه تهمت :D
---------
اين اميرحسين نه ها، اون اميرحسين استخريان مقاله خوبي نوشته
لينك مطلب
http://estakhrian.blogfa.com/post-4.aspx
لينك هاي دانلود داره، فارسي هم هست
اميرحسين استخريان يكي از برنامه نويس هاي كار درست ـه!

**maysam.m** · یک شنبه 29 اسفند 1389, 17:02 عصر

نوشته شده توسط UnnamE

جناب totofa به مردم تمبك نزنيد!!!
چيزه تهمت :D
---------
اين اميرحسين نه ها، اون اميرحسين استخريان مقاله خوبي نوشته
لينك مطلب
http://estakhrian.blogfa.com/post-4.aspx
لينك هاي دانلود داره، فارسي هم هست
اميرحسين استخريان يكي از برنامه نويس هاي كار درست ـه!

سلام

قبلا توی چند تا مقاله راههای جلوگیری از crsf را مطالعه کرده بودم ولی نمیدونستم این روش اسمش crsf است و دقیقا چه کار میکند!
این قضیه الان بیشتر برام ملموس شد و سعی میکنم کاملا نکاتش رو رعایت کنم.
و تشکر کنم بابت معرفی اون کتاب

در مورد جناب « اميرحسين استخريان » هم حرفاتون رو با توجه به شناخت نسبی که از ایشون پیدا کردم، تایید میکنم. قبلا چند تا مقاله از ایشون خونده بودم.

پ.ن: سال نو هم مبارک . ان شاا.. سال خوبی داشته باشید

نام تاپیک: امنیت فرم و جلوگیری از sql injection و XSS

ابزار های تاپیک

نمایش

امنیت فرم و جلوگیری از sql injection و XSS

نقل قول: امنیت فرم و جلوگیری از sql injection و XSS

نقل قول: امنیت فرم و جلوگیری از sql injection و XSS

نقل قول: امنیت فرم و جلوگیری از sql injection و XSS

نقل قول: امنیت فرم و جلوگیری از sql injection و XSS

نقل قول: امنیت فرم و جلوگیری از sql injection و XSS

نقل قول: امنیت فرم و جلوگیری از sql injection و XSS

برچسب های این تاپیک

قوانین ایجاد تاپیک در تالار