mokhtasatxyz
سه شنبه 19 فروردین 1393, 10:47 صبح
سلام
سه سوال
1- ایا برای جلوگیری از sql injection لازم است داده های دریافت شده از ابزاری انتخابی مانند radio button - checkbox و حتی فیلد های
hiddenهم از دستورات گفته شده مانند mysql_escape_string استفاده کرد یا فقط برای فیلد های قابل نوشتن مانند text ها؟
2- عبارات با قاعده را چگونه بنویسم و از ان استفاده کنم؟مبتدی هستم ،لطفا ساده روان و با مثال.
3- در سایت w3schoolاز یک مشکل امنیتی گفته :
The $_SERVER["PHP_SELF"] is a super global variable that returns the filename of the currently executing script.
So, the $_SERVER["PHP_SELF"] sends the submitted form data to the page itself,instead of jumping to a different page. This way, the user will get error messages on the same page as the form
What is the htmlspecialchars() function?
The htmlspecialchars() function converts special characters to HTML entities. This means that it will replace HTML characters like < and > with < and >. This prevents attackers from exploiting the code by injecting HTML or Javascript code (Cross-site Scripting attacks) in forms
Big Note on PHP Form SecurityThe $_SERVER["PHP_SELF"] variable can be used by hackers! If PHP_SELF is used in your page then a user can enter a slash (/) and then some Cross Site Scripting (XSS) commands to execute.
بعدش گفته از این روش استفاده کنید:$_SERVER["PHP_SELF"] exploits can be avoided by using the htmlspecialchars() function
< form method="post" action="<?php echo htmlspecialchars($_SERVER["PHP_SELF"]);?>">
The htmlspecialchars() function converts special characters to HTML entities
حالا سول سوم من این است .کد های یا برنامه dream weaver براینم نوشته به صورت زیر است:$editFormAction = $_SERVER['PHP_SELF'];
if (isset($_SERVER['QUERY_STRING'])) {
$editFormAction .= "?" . htmlentities($_SERVER['QUERY_STRING']);
}
<form method="post" name="form1" action="<?php echo $editFormAction; ?>">
حالا من میتوانم تغییراتی که سایت w3school گفته را انجام بدهم
سه سوال
1- ایا برای جلوگیری از sql injection لازم است داده های دریافت شده از ابزاری انتخابی مانند radio button - checkbox و حتی فیلد های
hiddenهم از دستورات گفته شده مانند mysql_escape_string استفاده کرد یا فقط برای فیلد های قابل نوشتن مانند text ها؟
2- عبارات با قاعده را چگونه بنویسم و از ان استفاده کنم؟مبتدی هستم ،لطفا ساده روان و با مثال.
3- در سایت w3schoolاز یک مشکل امنیتی گفته :
The $_SERVER["PHP_SELF"] is a super global variable that returns the filename of the currently executing script.
So, the $_SERVER["PHP_SELF"] sends the submitted form data to the page itself,instead of jumping to a different page. This way, the user will get error messages on the same page as the form
What is the htmlspecialchars() function?
The htmlspecialchars() function converts special characters to HTML entities. This means that it will replace HTML characters like < and > with < and >. This prevents attackers from exploiting the code by injecting HTML or Javascript code (Cross-site Scripting attacks) in forms
Big Note on PHP Form SecurityThe $_SERVER["PHP_SELF"] variable can be used by hackers! If PHP_SELF is used in your page then a user can enter a slash (/) and then some Cross Site Scripting (XSS) commands to execute.
بعدش گفته از این روش استفاده کنید:$_SERVER["PHP_SELF"] exploits can be avoided by using the htmlspecialchars() function
< form method="post" action="<?php echo htmlspecialchars($_SERVER["PHP_SELF"]);?>">
The htmlspecialchars() function converts special characters to HTML entities
حالا سول سوم من این است .کد های یا برنامه dream weaver براینم نوشته به صورت زیر است:$editFormAction = $_SERVER['PHP_SELF'];
if (isset($_SERVER['QUERY_STRING'])) {
$editFormAction .= "?" . htmlentities($_SERVER['QUERY_STRING']);
}
<form method="post" name="form1" action="<?php echo $editFormAction; ?>">
حالا من میتوانم تغییراتی که سایت w3school گفته را انجام بدهم