sqlinjection

**Vahid Faraji** · پنج شنبه 04 شهریور 1389, 17:47 عصر

معني و مفهوم كد زير چيه؟ آيا مي شه ورودي ها رو با تابع زير فيلتر كنيم منظورم اينه كه اين تابع براي جلوگيري از sqlinjection كافيه؟



function Safe_SQL($Str_Input)

{



    if(get_magic_quotes_gpc()): function_exists('mysql_real_escape_string') ? stripslashes(mysql_real_escape_string(&$Str_Input)  ) : stripslashes(mysql_escape_string(&$Str_Input));

    else: function_exists('mysql_real_escape_string') ? addslashes(mysql_real_escape_string(&$Str_Input)) : addslashes(mysql_escape_string(&$Str_Input));

    endif;



    return($Str_Input);

}

**bestirani2** · پنج شنبه 04 شهریور 1389, 18:18 عصر

یک کد ساده هست
توی انجمن در این مورد بحث شده

**Vahid Faraji** · پنج شنبه 04 شهریور 1389, 18:24 عصر

مي شه يه لينك بديد، من يه سري چيزها رو خوندم. نتيجه مشخصي نداشت.

**binyaft** · پنج شنبه 04 شهریور 1389, 18:35 عصر

en.wikipedia.org/wiki/SQL_injection
www.unixwiz.net/techtips/sql-injection.html
snipplr.com/view/2742/antisql-injection-function/

**bestirani2** · پنج شنبه 04 شهریور 1389, 18:43 عصر

نوشته شده توسط Vahid Faraji

مي شه يه لينك بديد، من يه سري چيزها رو خوندم. نتيجه مشخصي نداشت.

https://barnamenevis.org/showthread.php?t=174827

**Vahid Faraji** · پنج شنبه 04 شهریور 1389, 18:43 عصر

نوشته شده توسط binyaft

en.wikipedia.org/wiki/SQL_injection
www.unixwiz.net/techtips/sql-injection.html
snipplr.com/view/2742/antisql-injection-function/



   1.

      function cleanuserinput($dirty){

   2.

      if (get_magic_quotes_gpc()) {

   3.

      $clean = mysql_real_escape_string(stripslashes($dirty));

   4.

      }else{

   5.

      $clean = mysql_real_escape_string($dirty);

   6.

      }

   7.

      return $clean;

   8.

      }

   9.

به نظر شما اين روش براي اين كه تمام ورودي هاي سايت رو چه در موقع login يا چه در موقع insert, update, select , ... يك بار به ورودي اين تابع بديم، كافيه؟

**Vahid Faraji** · پنج شنبه 04 شهریور 1389, 18:51 عصر

نوشته شده توسط bestirani2

https://barnamenevis.org/showthread.php?t=174827

به نظر شما چطوره من تمام ورودي هاي سايتو با اين تابع فيلتر كنم؟



	function inputFilter($var)

	{

		$var = strip_tags($var);

		$var = htmlentities($var);

		$var = stripslashes($var);

		return mysql_real_escape_string($var);

	}

**Vahid Faraji** · پنج شنبه 04 شهریور 1389, 19:32 عصر

از دوستان خواهش مي كنم كمك كنند تا اين بحث بسته بشه، چون هر وقت باز شده، نتيجه قطعي نداشت.

**bestirani2** · پنج شنبه 04 شهریور 1389, 19:53 عصر

نوشته شده توسط Vahid Faraji

به نظر شما چطوره من تمام ورودي هاي سايتو با اين تابع فيلتر كنم؟



    function inputFilter($var)

    {

        $var = strip_tags($var);

        $var = htmlentities($var);

        $var = stripslashes($var);

        return mysql_real_escape_string($var);

    }

میخوای خیالت راحت باشه سمت اس کیو ال هم بررسی انجام بده

**SAMAN_PHP** · پنج شنبه 04 شهریور 1389, 20:05 عصر

به نظر شما اين روش براي اين كه تمام ورودي هاي سايت رو چه در موقع login يا چه در موقع insert, update, select , ... يك بار به ورودي اين تابع بديم، كافيه؟

بستگی داره به نوع وردیتون ممکن بعضی جاها نباید همه کارکترها را فیلتر کرد

htmlentities

تابع بالایی برای غیر فعال کردن کارکترهای html

این تابع هم کلا کارکترهای htmlوjsرو حذف میکنه

strip_tags

به نظر شما چطوره من تمام ورودي هاي سايتو با اين تابع فيلتر كنم؟

قبل از استفاده از وردی اونو از تابع زیر رد کن
مثلا:

$var=inputFilter($_POST['name']);

**rapidpich** · جمعه 05 شهریور 1389, 11:36 صبح

اول اسکریپت اینو بکن:



        $var = stripslashes($var);

البته در صورتیکه magic_quotes روشنه، کل GET و POST و کوکی رو
هرجا با database کار داری از real_escape استفاده کن

این کاریه که وردپرس میکنه

**parselearn** · جمعه 05 شهریور 1389, 13:11 عصر

یه نمونه اینجا هست که ورودی ها رو چک میکنه
https://barnamenevis.org/showth...highlight=sqli

نام تاپیک: sqlinjection

ابزار های تاپیک

نمایش

sqlinjection

نقل قول: sqlinjection

نقل قول: sqlinjection

نقل قول: sqlinjection

نقل قول: sqlinjection

نقل قول: sqlinjection

نقل قول: sqlinjection

نقل قول: sqlinjection

نقل قول: sqlinjection

نقل قول: sqlinjection

نقل قول: sqlinjection

نقل قول: sqlinjection

قوانین ایجاد تاپیک در تالار