PDA

View Full Version : جلوگیری از حملات XSS و SQL Injection



milad_d993
جمعه 31 خرداد 1392, 15:17 عصر
سلام
برای جلوگیری از این حملات چه باید بکنیم؟؟؟
tnx...

Veteran
جمعه 31 خرداد 1392, 15:36 عصر
برای
SQL Injection


میتونین از PDO و Store procedure استفاده کنین

milad_d993
جمعه 31 خرداد 1392, 16:00 عصر
میشه با یه مثال توضیح بدین؟؟

پسورد رو با md5 کد کردم ولی یوزرنیم رو چون میخوام نشان بدم نمیتونم کد کنم

milad_d993
جمعه 31 خرداد 1392, 16:36 عصر
موقع استفاده از
$bookId = mysql_real_escape_string($_GET["id"]);
این ارور رو میده چرا؟؟؟


Warning: mysql_real_escape_string() [function.mysql-real-escape-string]: Access denied for user 'SYSTEM'@'localhost' (using password: NO) in C:\wamp\www\bookstore\showbook.php on line 56

Warning: mysql_real_escape_string() [function.mysql-real-escape-string]: A link to the server could not be established in C:\wamp\www\bookstore\showbook.php on line 56

demolition
جمعه 31 خرداد 1392, 17:16 عصر
به نظر من بهترین روش برای این کار URL Rewriting است. من تجربه زیادی با php ندارم ولی با asp.net باهاش کار کردم یکم حوصله میخاد ولی همه ی سایتهای بزرگ ازش استفاده میکنن به عنوان مثال ایران=http://fa.wikipedia.org/w/index.php?title با URL Rewriting به این شکل ایران/http://fa.wikipedia.org/wiki در میاد

MRmoon
جمعه 31 خرداد 1392, 18:19 عصر
به نظر من بهترین روش برای این کار URL Rewriting است. من تجربه زیادی با php ندارم ولی با asp.net باهاش کار کردم یکم حوصله میخاد ولی همه ی سایتهای بزرگ ازش استفاده میکنن به عنوان مثال ایران=http://fa.wikipedia.org/w/index.php?title با URL Rewriting به این شکل ایران/http://fa.wikipedia.org/wiki در میاد

منظورشون htaccess هست .....


از PDO استفاده كنين ....

مهرداد سیف زاده
جمعه 31 خرداد 1392, 21:20 عصر
جلوگیری از حملات sql injection:
1- اگر از دستور mysql استفاده می‌کنید پس با تابع mysql_real_scape_string جلوی حملات گرفته میشه(تا حدودی)
2-اگر از دستور mysqli استفاده می‌کنید باید از دو تابع addslashsو filter_var با فیلتر گذاری از نوع sanitize استفاده کنید
3- pdo هم بسیار راحت و جلوی حملات هم گرفته میشه

Warning: mysql_real_escape_string() [function.mysql-real-escape-string]: Access denied for user 'SYSTEM'@'localhost' (using password: NO) in C:\wamp\www\bookstore\showbook.php on line 56
این اخطار بدلیل اتصال با بانک اطلاعاتی هست احتمالا یوزر پس و اتصال با بانک درست تنظیم نشده