سلام

دارم یه فرمی طراحی میکنم که کاربران بتونند از طریق اون به سایت مطلب ارسال کنند.

از این تابع هم استفاده میکنم برای جلوگیری از sql injection و XSS . به نظر شما این تابع کارآمدِ و امنیت کاملا برای فرممون برقرار میشه؟



function filter_input($dirty){
$clean = strip_tags($dirty);
$clean = htmlentities($clean, ENT_QUOTES,'UTF-8');
$clean = htmlspecialchars($clean, ENT_QUOTES,'UTF-8');
return $clean;
}


خوشحال میشم نظرتون رو بدونم.

باسلام:
اين تابع خوبه اما بهتره رشته اصلي رو باز با SP ها به سمت پايگاه داده بفرستيد.

باسلام:
اين تابع خوبه اما بهتره رشته اصلي رو باز با SP ها به سمت پايگاه داده بفرستيد.


حالا xss رو pass كردي
crsf رو ميخواي چيكا كني؟

لطف میکنید درباره این اصلاحاتی که گفتید بیشتر توضیح بدید؟ :متفکر:

Cross-site_request_forgery (http://en.wikipedia.org/wiki/Cross-site_request_forgery)

سلام

این مطلب رو خوندم و از اونجایی که زبانم خیلی خوب نیست یه چیزایی متوجه شدم :دی
فکر کنم این روش از طریق مثلا آدرس عکس کار میکنه و با استفاده از سطح دسترسی های مدیر دستوراتی رو در سایت اجرا میکنه. و یا سوء استفاده از سشن و اسال فرم های فیک و ...

UnnamE جان لطف میکنی خودت هم یه توضیحی بدی؟ :لبخند:

این روش برای هک کردن هست :D
مثلا برای شما یه تصویر ارسال میشه ، مرورگر اون رو از سرور درخوسات میکنه ، فرض کنید به صورت زیر یه ادرس تصویر ارسال شده


http://localhost/?add-post=salam

مرورگر این درخواست رو میفرسته و اگر شما به فلان سایت لاگین کرده بشید ، مثل این هست که شما این دستور رو اجرا کردید و یک پست ارسال میشه !

این همه چیزی بود که من از این روش فهمیدم

پ.ن : فک کنم این UnnamE این روش رو رو سیستم من پیاده کرده :( :گریه: :لبخند:

جناب totofa به مردم تمبك نزنيد!!!
چيزه تهمت :D
---------
اين اميرحسين نه ها، اون اميرحسين استخريان مقاله خوبي نوشته
لينك مطلب
http://estakhrian.blogfa.com/post-4.aspx
لينك هاي دانلود داره، فارسي هم هست
اميرحسين استخريان يكي از برنامه نويس هاي كار درست ـه!

جناب totofa به مردم تمبك نزنيد!!!
چيزه تهمت :D
---------
اين اميرحسين نه ها، اون اميرحسين استخريان مقاله خوبي نوشته
لينك مطلب
http://estakhrian.blogfa.com/post-4.aspx
لينك هاي دانلود داره، فارسي هم هست
اميرحسين استخريان يكي از برنامه نويس هاي كار درست ـه!

سلام

قبلا توی چند تا مقاله راههای جلوگیری از crsf را مطالعه کرده بودم ولی نمیدونستم این روش اسمش crsf است و دقیقا چه کار میکند!
این قضیه الان بیشتر برام ملموس شد و سعی میکنم کاملا نکاتش رو رعایت کنم.
و تشکر کنم بابت معرفی اون کتاب :بوس:
در مورد جناب « اميرحسين استخريان » هم حرفاتون رو با توجه به شناخت نسبی که از ایشون پیدا کردم، تایید میکنم. قبلا چند تا مقاله از ایشون خونده بودم. :لبخندساده:

پ.ن: سال نو هم مبارک . ان شاا.. سال خوبی داشته باشید :قلب: :چشمک: