Методы защиты

@nepster · Регистрация: 19.09.2009

Студворк — интернет-сервис помощи студентам

Интересуют методы защиты сайта такие как:

1) защита открытого ГЕТ запроса в базу например http://site.ru/news.php?id=10
тоесть защитить базу от инъекций
2) Защита при вводе логина и паса, видел видео что прописывают непонятную шнягу в форму логина и пароля и получают хешированый пароль...
3) какие еще методы безопасности можно применить, что бы сайт был защитоспособным ко взлому.
4) Еще вопрос насколько безопасно использовать куки?

@GalaX · 30.06.2010, 13:28

Сообщение от nepster

1) защита открытого ГЕТ запроса в базу например http://site.ru/news.php?id=10

PHP
1
$query = 'SELECT ... ' . (int)$_GET['id'] . ' ... ';

Сообщение от nepster

2) Защита при вводе логина и паса, видел видео что прописывают непонятную шнягу в форму логина и пароля и получают хешированый пароль...

PHP
1
$query = 'SELECT ... ' . mysql_real_escape_string($_POST['login']) . ' ... ';

Сообщение от nepster

4) Еще вопрос насколько безопасно использовать куки?

смотря че ты в них хранишь. если там ниче секретного нет (например, логин || пароль) то ниче страшного в этих куках нет. но че бы не хранилось в куках все равно надо предотвращать их кражу через XSS (один из видов взлома)

@Pafos · 30.06.2010, 13:46

Сообщение от nepster

2) Защита при вводе логина и паса, видел видео что прописывают непонятную шнягу в форму логина и пароля и получают хешированый пароль...

Проверяй, регулярными выражениями, всё, 4то приходит с формы...

@nepster · 30.06.2010, 16:15 **[ТС]**

PHP
1
$query = 'SELECT ... ' . (int)$_GET['id'] . ' ... ';

=) идея хорошая, но id не всегда число, например id может быть = news, comm, users и др.

Можно ли просто например ограничить кол-во символов?

@GalaX · 30.06.2010, 16:21

PHP
1
substr($_GET['id'], 0, 5);

@nepster · 30.06.2010, 16:39 **[ТС]**

этого будет достаточно для безопасности?

@GalaX · 30.06.2010, 17:09

Сообщение от nepster

этого будет достаточно для безопасности?

не думаю
лучше, например, юзать mysql_real_escape_string()
либо, как говорил Pafos, проверять регулярками - решение надежное, но к сожалению не такое быстрое

Добавлено через 6 минут

Сообщение от nepster

id может быть = news, comm, users и др.

если этот список постоянный и динамически не изменяется, то как альтернативное решение:

PHP
1
2
3
4
5
if ( in_array($_GET['id'], array ('news', 'comm', 'users')) ) {
  $query = 'SELECT ... ' . $_GET['id'] . ' ... ';
} else {
 // редиректим на страницу с ошибкой, что такого раздела не существует (либо еще куда-нибудь редирект делаем)
}

плюс тут в том, что если параметр id введен неправильно, то никакого запроса к базе не будет
следовательно sql-инъекция отменяется и еще немного ускоряется работа т.к. не надо будет искать несуществующую запись

Vovan-VE · 30.06.2010, 17:23

Сообщение от GаlаX

PHP
1
if ( in_array($_GET['id'], array ('news', 'comm', 'users')) ) {

Так быстрее

:

PHP
1
2
3
4
5
6
$Foo = array(
    'news' => 1,
    'comm' => 1,
    'users' => 1,
);
if (isset($Foo[$_GET['id']])) {

@nepster · 30.06.2010, 17:52 **[ТС]**

спасибо, буду фильтровать )

Новые блоги и статьи Все статьи Все блоги /
Изучаю kubernetes lagorue 13.01.2026 А пригодятся-ли мне знания kubernetes в России?	Сукцессия микоризы: основная теория в виде двух уравнений. anaschu 11.01.2026 https:/ / rutube. ru/ video/ 7a537f578d808e67a3c6fd818a44a5c4/	WordPad для Windows 11 Jel 10.01.2026 WordPad для Windows 11 — это приложение, которое восстанавливает классический текстовый редактор WordPad в операционной системе Windows 11. После того как Microsoft исключила WordPad из. . .	Classic Notepad for Windows 11 Jel 10.01.2026 Old Classic Notepad for Windows 11 Приложение для Windows 11, позволяющее пользователям вернуть классическую версию текстового редактора «Блокнот» из Windows 10. Программа предоставляет более. . .
Почему дизайн решает? Neotwalker 09.01.2026 В современном мире, где конкуренция за внимание потребителя достигла пика, дизайн становится мощным инструментом для успеха бренда. Это не просто красивый внешний вид продукта или сайта — это. . .	Модель микоризы: классовый агентный подход 3 anaschu 06.01.2026 aa0a7f55b50dd51c5ec569d2d10c54f6/ O1rJuneU_ls https:/ / vkvideo. ru/ video-115721503_456239114	Owen Logic: О недопустимости использования связки «аналоговый ПИД» + RegKZR ФедосеевПавел 06.01.2026 Owen Logic: О недопустимости использования связки «аналоговый ПИД» + RegKZR ВВЕДЕНИЕ Введу сокращения: аналоговый ПИД — ПИД регулятор с управляющим выходом в виде числа в диапазоне от 0% до. . .	Модель микоризы: классовый агентный подход 2 anaschu 06.01.2026 репозиторий https:/ / github. com/ shumilovas/ fungi ветка по-частям. коммит Create переделка под биомассу. txt вход sc, но sm считается внутри мицелия. кстати, обьем тоже должен там считаться. . . .

@nepster 61 / 61 / 11 Регистрация: 19.09.2009 Сообщений: 844

	Методы защиты 30.06.2010, 13:07. Показов 1257. Ответов 8 Метки нет (Все метки) Интересуют методы защиты сайта такие как: 1) защита открытого ГЕТ запроса в базу например http://site.ru/news.php?id=10 тоесть защитить базу от инъекций 2) Защита при вводе логина и паса, видел видео что прописывают непонятную шнягу в форму логина и пароля и получают хешированый пароль... 3) какие еще методы безопасности можно применить, что бы сайт был защитоспособным ко взлому. 4) Еще вопрос насколько безопасно использовать куки? 0

@nepster 61 / 61 / 11 Регистрация: 19.09.2009 Сообщений: 844
	30.06.2010, 16:39 [ТС]
	этого будет достаточно для безопасности? 0

@nepster 61 / 61 / 11 Регистрация: 19.09.2009 Сообщений: 844
	30.06.2010, 17:52 [ТС]
	спасибо, буду фильтровать ) 0