Защита от взлома

@IcedElect · Регистрация: 08.03.2014

Студворк — интернет-сервис помощи студентам

Помогите организовать защиту от взлома.
Слышал что можно в input'ах вводить sql код.Если это правда: как исправить?И есть ли ещё способы взлома и как защитится?

@Voka · 17.11.2014, 17:36

Для начала почитай про:
1. sql инъекции
2. XSS

@IcedElect · 17.11.2014, 18:13 **[ТС]**

Подобное у меня не сработает,сайт одностраничный и присутствует только регистрация,авторизация и запись.
Хотелось бы ответа на тот способ,который в описание темы.

@Voka · 17.11.2014, 18:14

Ну, с помощью незащищенного ввода можно получить полный доступ к серверу и к базе данных с помощью SQL инъекций.

@IcedElect · 17.11.2014, 18:22 **[ТС]**

Voka, А что бы защитится,я так понял посылаете меня в гугл)))

@Voka · 17.11.2014, 18:28

Ну как минимум используйте фильтры и http://php.net/manual/ru/funct... string.php

elnorbert · 17.11.2014, 18:56

Сообщение от IcedElect

Помогите организовать защиту от взлома.

Для предотвращение SQL иньекций пропускайте данные через ф-ю addslashes(). Она проекранирует все спец символы, так что то что содержиться в полях ввода (Имя, Фамилия, Отчество, и т.п.) сервер БД воспримет как данные а не как вредоносный запрос.

Для предотвращения внедрения в текст веб страницы вредоносного java script кода пропускайте данные через ф-ю strip_tags(). Иначе можно считывать значение cookie сессии, либо пошалить alert('').

@Custos · 17.11.2014, 19:07

Такие темы откровенно уже начинают бесить... Сколько раз уже обсуждалась тут это, но ленивые люди вместо того, чтобы поискать ответ, все равно продолжают плодить подобные темы. Напишу в 100501-ый раз:
Проблема sql инъекций давным давно решена.
1) http://php.net/manual/ru/pdo.p... ements.php
2) http://php.net/manual/ru/mysqli.prepare.php

Добавлено через 4 минуты
tolimadokara, не надо ничего ни через что пропускать. В базу все сохраняется в "сыром" виде, а фильтруется только при выводе через банальный htmlspecialchars()

@Para bellum · 17.11.2014, 19:11

Custos, поддерживаю. Абсолютно с Вами согласен.

elnorbert · 17.11.2014, 19:12

Не по теме:

Сообщение от Custos

Такие темы откровенно уже начинают бесить... Сколько раз уже обсуждалась тут это, но ленивые люди вместо того, чтобы поискать ответ, все равно продолжают плодить подобные темы. Напишу в 100501-ый раз:

Скажите модератору этого раздела форума что можно закрепить тему о инъекциях. Что бы не спрашивали.

Сообщение от Custos

Проблема sql инъекций давным давно решена

О mysqli_prepare видимо мало кто знает, только старички. Весь мануал по PHP не прочитаешь.

Сообщение от Custos

tolimadokara, не надо ничего ни через что пропускать. В базу все сохраняется в "сыром" виде, а фильтруется только при выводе через банальный htmlspecialchars()

Разумно. Иначе теряешь много исходной информации.

@Para bellum · 17.11.2014, 19:15

Не по теме:

Модераторы, может стоит закрепить подобную тему в данном разделе? Не обязательно писать огромную статью, просто сказать, что актуально на данный момент в работе с БД. Ну это так, предложение :)

Опередили меня

elnorbert · 17.11.2014, 19:17

Не по теме:

Сообщение от lyod

Модераторы, может стоит закрепить подобную тему в данном разделе? Не обязательно писать огромную статью, просто сказать, что актуально на данный момент в работе с БД. Ну это так, предложение

Ага, щас модераторы налетят :D. В приват надо написать.

@Custos · 17.11.2014, 19:17

Не по теме:

Если модераторы не против, то могу написать краткую статью с примерами безопасной работы с базой. Чтобы эту тему потом можно было закрепить и чтобы в будущем пользователи не создавали подобные темы.

@Para bellum · 17.11.2014, 19:19

Не по теме:

Сообщение от tolimadokara

Ага, щас модераторы налетят

Я наезда не понял :scratch:
А вообще, я сам на своё сообщение пожаловался, так что модераторы его точно увидят :)

elnorbert · 17.11.2014, 19:22

Не по теме:

Сообщение от lyod

Сообщение от tolimadokara

Ага, щас модераторы налетят

Я наезда не понял :scratch:

Извините, да не наезжал я на вас. Я, как бы... хотел сказать что модераторы могут не заметить эту просьбу :pardon:

@Eva Rosalene · 17.11.2014, 20:35

Не по теме:

Custos, возможно-возможно. Пишите, закрепим :)
lyod, угу, вот и обратили :)

@vladmir73 · 20.02.2015, 20:09

сканер на XSS и SQL Injections

@root · 20.02.2015, 21:51

Сообщение от tolimadokara

Для предотвращение SQL иньекций пропускайте данные через ф-ю addslashes().

Что за анахронизм?

Сообщение от tolimadokara

О mysqli_prepare видимо мало кто знает, только старички. Весь мануал по PHP не прочитаешь.

Это норма, а не "старички знают"..
Параметризированные запросы существуют уже десяток лет. Ииии, о-Опп! Вся тема - сборище недоучек?

Добавлено через 2 минуты
Хотя про всю тему, это я сгоряча.Custos, вернул веру в человечество

@tip78 · 21.02.2015, 01:10

Сообщение от Custos

В базу все сохраняется в "сыром" виде, а фильтруется только при выводе через банальный htmlspecialchars()

может всё-таки В БАЗУ помещать после htmlspecialchars() ?
а то при выводе таблиц некошерно получится
пофиг что больше места займёт, обрежем
всё-таки вывод может получиться в ахулиард раз чаще, чем ввод, на хайлоаде особенно

prepare так то на любителя
я так делаю:
$s{'mysqli'}->escape_string(htmlspecialchars(substr($ _POST{'fieldname'},0,255),ENT_QUOTES))
это для варчаров
а где можно юзать a-z0-9, там просто ^регексп$

@Para bellum · 21.02.2015, 06:50

Не по теме:

Сообщение от root

Вся тема - сборище недоучек?

Ну вот, ни за что, ни про что назвали недоучкой... :(

Новые блоги и статьи Все статьи Все блоги /
Загрузка PNG с альфа-каналом на SDL3 для Android: с помощью SDL_LoadPNG (без SDL3_image) 8Observer8 28.01.2026 Содержание блога SDL3 имеет собственные средства для загрузки и отображения PNG-файлов с альфа-каналом и базовой работы с ними. В этой инструкции используется функция SDL_LoadPNG(), которая. . .	Загрузка PNG с альфа-каналом на SDL3 для Android: с помощью SDL3_image 8Observer8 27.01.2026 Содержание блога SDL3_image - это библиотека для загрузки и работы с изображениями. Эта пошаговая инструкция покажет, как загрузить и вывести на экран смартфона картинку с альфа-каналом, то есть с. . .	влияние грибов на сукцессию anaschu 26.01.2026 Бифуркационные изменения массы гриба происходят тогда, когда мы уменьшаем массу компоста в 10 раз, а скорость прироста биомассы уменьшаем в три раза. Скорость прироста биомассы может уменьшаться за. . .	Воспроизведение звукового файла с помощью SDL3_mixer при касании экрана Android 8Observer8 26.01.2026 Содержание блога SDL3_mixer - это библиотека я для воспроизведения аудио. В отличие от инструкции по добавлению текста код по проигрыванию звука уже содержится в шаблоне примера. Нужно только. . .
Установка Android SDK, NDK, JDK, CMake и т.д. 8Observer8 25.01.2026 Содержание блога Перейдите по ссылке: https:/ / developer. android. com/ studio и в самом низу страницы кликните по архиву "commandlinetools-win-xxxxxx_latest. zip" Извлеките архив и вы увидите. . .	Вывод текста со шрифтом TTF на Android с помощью библиотеки SDL3_ttf 8Observer8 25.01.2026 Содержание блога Если у вас не установлены Android SDK, NDK, JDK, и т. д. то сделайте это по следующей инструкции: Установка Android SDK, NDK, JDK, CMake и т. д. Сборка примера Скачайте. . .	Использование SDL3-callbacks вместо функции main() на Android, Desktop и WebAssembly 8Observer8 24.01.2026 Содержание блога Если вы откроете примеры для начинающих на официальном репозитории SDL3 в папке: examples, то вы увидите, что все примеры используют следующие четыре обязательные функции, а. . .	моя боль iceja 24.01.2026 Выложила интерполяцию кубическими сплайнами www. iceja. net REST сервисы временно не работают, только через Web. Написала за 56 рабочих часов этот сайт с нуля. При помощи perplexity. ai PRO , при. . .

@IcedElect 1 / 1 / 0 Регистрация: 08.03.2014 Сообщений: 85

	Защита от взлома 17.11.2014, 17:20. Показов 3660. Ответов 39 Метки нет (Все метки) Помогите организовать защиту от взлома. Слышал что можно в input'ах вводить sql код.Если это правда: как исправить?И есть ли ещё способы взлома и как защитится? 0

@Voka 207 / 199 / 110 Регистрация: 27.12.2010 Сообщений: 819 Записей в блоге: 1
	17.11.2014, 17:36
	Для начала почитай про: 1. sql инъекции 2. XSS 0

@IcedElect 1 / 1 / 0 Регистрация: 08.03.2014 Сообщений: 85
	17.11.2014, 18:13 [ТС]
	Подобное у меня не сработает,сайт одностраничный и присутствует только регистрация,авторизация и запись. Хотелось бы ответа на тот способ,который в описание темы. 0

@Voka 207 / 199 / 110 Регистрация: 27.12.2010 Сообщений: 819 Записей в блоге: 1
	17.11.2014, 18:14
	Ну, с помощью незащищенного ввода можно получить полный доступ к серверу и к базе данных с помощью SQL инъекций. 0

@IcedElect 1 / 1 / 0 Регистрация: 08.03.2014 Сообщений: 85
	17.11.2014, 18:22 [ТС]
	Voka, А что бы защитится,я так понял посылаете меня в гугл))) 0

@Voka 207 / 199 / 110 Регистрация: 27.12.2010 Сообщений: 819 Записей в блоге: 1
	17.11.2014, 18:28
	Ну как минимум используйте фильтры и http://php.net/manual/ru/funct... string.php 0

@Custos Software Engineer 332 / 335 / 55 Регистрация: 23.09.2014 Сообщений: 983
	17.11.2014, 19:07
	Такие темы откровенно уже начинают бесить... Сколько раз уже обсуждалась тут это, но ленивые люди вместо того, чтобы поискать ответ, все равно продолжают плодить подобные темы. Напишу в 100501-ый раз: Проблема sql инъекций давным давно решена. 1) http://php.net/manual/ru/pdo.p... ements.php 2) http://php.net/manual/ru/mysqli.prepare.php Добавлено через 4 минуты tolimadokara, не надо ничего ни через что пропускать. В базу все сохраняется в "сыром" виде, а фильтруется только при выводе через банальный htmlspecialchars() 3

@Para bellum 5755 / 4134 / 1508 Регистрация: 06.01.2011 Сообщений: 11,276
	17.11.2014, 19:11
	Custos, поддерживаю. Абсолютно с Вами согласен. 1

@Para bellum 5755 / 4134 / 1508 Регистрация: 06.01.2011 Сообщений: 11,276
	17.11.2014, 19:15
	Не по теме: Модераторы, может стоит закрепить подобную тему в данном разделе? Не обязательно писать огромную статью, просто сказать, что актуально на данный момент в работе с БД. Ну это так, предложение :) Опередили меня 0

@Custos
	17.11.2014, 19:17
	Не по теме: Если модераторы не против, то могу написать краткую статью с примерами безопасной работы с базой. Чтобы эту тему потом можно было закрепить и чтобы в будущем пользователи не создавали подобные темы. 0

@Eva Rosalene
	17.11.2014, 20:35
	Не по теме: Custos, возможно-возможно. Пишите, закрепим :) lyod, угу, вот и обратили :) 0

@vladmir73 0 / 0 / 0 Регистрация: 20.02.2015 Сообщений: 1
	20.02.2015, 20:09
	сканер на XSS и SQL Injections 0