من برای مقابله با اس کیو ال اینجکشن و داده های مخرب از تابع امنیتی زیر استفاده می کنم. لطفا بگید بنظر شما این تابع تا چه حد جلوی اس کیو ال اینجکشن رو می گیره؟
اگه این تابع به اصلاح احتیاج داره، لطفا تابع رو اصلاح کنید و ایرادش رو بهم بگید.
function injection($str)
{
$arr[]='.';
$arr[]='-';
$newarr[]='\.';
$newarr[]='\-';
$tstr=trim($str);
$estr=htmlentities($tstr, ENT_QUOTES,'UTF-8');
$sstr=htmlspecialchars($estr, ENT_QUOTES,'UTF-8');
$mstr = str_replace($arr, $newarr, $sstr);
return $mstr;
}
همیشه داده هایی که پست ارسال می کنی رو به این صورت بگیر
البته من نمونه کدی که خودم استفاده می کنم رو واست قرار می دم
$symbol = array(',', ')', '(', "'", '"','!', '?', '/', '[', ']', '+', '=', '#');
if(isset($_POST['name'],$_POST['email'],$_POST['subject'],$_POST['text']))
{
$name = preg_replace("/<.*?>/", "",$_POST['name'] );
$name =str_replace( $symbol ,"",$name);
$email = preg_replace("/<.*?>/", "",$_POST['email'] );
$email =str_replace( $symbol ,"",$email);
$subject = preg_replace("/<.*?>/", "",$_POST['subject'] );
$subject =str_replace( $symbol ,"",$subject);
$text = preg_replace("/<.*?>/", "",$_POST['text'] );
$text =str_replace( $symbol ,"",$text);
if(!empty($name) and !empty($email)and !empty($subject) and !empty($text))
{
$link = mysql_connect($dbhost,$dbuser,$dbpass) ;
mysql_select_db($dbname,$link);
.
.
.
و بقیه دستورات شما
{
اين دو تاپيك رو ببينيد
https://barnamenevis.org/showthread.p...ion&highlight=
https://barnamenevis.org/showthread.p...ion&highlight=
براي چك كردن كل متغييرها
foreach($_POST as $key => $value){
foreach($_GET as $key => $value){
بنظرم باید بیشتر روی تابع کار کنید. چون مقادیر هگزا دسیمال رو در نظر نمی گیره.نوشته شده توسط galiken_it
اينجوري استاندارد تره
خب اضافه کن $symbol . هر چی که دوست داری فیلتر بشه.
مقادیر هگزا دیسمال چی هست ؟ همون مبنای 16 رو می گید ؟ شما که می دونید خوبش کنید ما یاد بگیریم
منم از دوستان در مورد مقادیر هگزا دسیمال شنیدم
قوانین ایجاد تاپیک در تالار
پاسخ با نقل قول