نوشته شده توسط
mokhtasatxyz
سلام
به نظر شما ایا برای فرم ها و صفحاتی مانند تماس با ما - ازسال نظرات و مانند اینها که فقط کاربر فیلد هایی مانند نام خانوادگی، موضوع و متن پیغام داشته باشد . و این اطلاعات امنیتی نیست لازم است از کد هایی مثلا mysql_escape_stringو یا اعتبار سنجی و یا جلوگیری از sql enjection استفاده کرد
من در این صفحات از کد تصاویر امنیتی استفاده کرده ام ایا کافی است؟
ممنون
دوست عزیز شما هنوز درک درستی از امنیت ندارید
کاربر لزوما اون چیزی که برنامه نویس!شما در نظر دارید وارد این فرم هاتون نمیکنه پس همیشه و هرجا هر ورودی که از خارج میاد حالا میخواد هدر باشه میخواد url باشه یا همین فرمها باید اعتبار سنجی بشه
کد کپچا برای اینه که تشخیص بدی کسی که فرم فرستاده انسان هست پس نمیتونه کلی فرم رو ارسال کنه!به اصطلاح spamming کنه و بحثش با کنترل و اعتبارسنجی ورودی ها متفاوته.
پس هر ورودی که دریافت میکنید مطمئن شید که معتبر هست
پس لازم است این اطلاعات رو از کدهای sql پاک کنید برای داده هایی که قراراست بعنوان کوئری به سمت mysql فرستاده بشن
و داده های دیگه که قراره در برنامه استفاده بشن.
برای نوع اول از تابع
mysql_real_escape_string();
//جلوگیری از باگ
sqlinjection و blindsql injection
و برای نوع دوم از تابع های
$new_code= strip_tags($string);
$new_code= htmlentities($string);
//$string رشتتونه که میخواید چکش کنید
//new_code هم ورودیتونه که چک شده و از کدهای مخرب پاک شده
//جلوگیری از باگ xss و rfi و ....