Самые активные пользователи:

  • UnInstaller ( 199 сообщений )
  • vizit ( 101 сообщение )
  • San4o ( 71 сообщение )
  • Apostol ( 60 сообщений )
  • avattar ( 22 сообщения )
  • Kruger ( 8 сообщений )
  • haks ( 7 сообщений )
  • Poputchyk ( 6 сообщений )
  • etc ( 6 сообщений )
  • BOPOH ( 4 сообщения )
  • [ Новые сообщения · Участники · Правила форума · Поиск · RSS ]


    • Страница 1 из 1
    • 1
    Модератор форума: UnInstaller, San4o  
    PHP. Фильтрация данных
    UnInstallerДата: Пятница, 27.03.2009, 21:30 | Сообщение # 1
    Admin
    Группа: Администраторы
    Сообщений: 199
    Дата регистрации: 23.02.2008
    Пол: Парень
    Откуда: Украина
    Репутация: 14
    Статус: Offline
    Самом важным пунктом безопасности веб-сайта является проверка всех поступающих в запросы к базе данных, поэтому стоит всегда проверять данные, вводимые пользователем в формы поиска, заполнения полей регистрации и так далее на наличие «опасных» данных. Это может быть вредоносный JavaScript код, PHP или PERL команды, а так же что самое опасное – это команды серверу. Говорить о возможностях опытного хакера, которому попалась не проверяемое поле на сайте просто глупо – он сможет всё! Начиная от устанвки редиректа и заканчивая полным гоном или выводом из строя сервета.

    Всегда помните, что абсолютно любой пользователь – это опасность для незащищенного сайта, поэтому всегда стоит проверять запросы и переменные от пользователя.

    Основные этапы:

    1) Анализ переменных, точнее массивов POST и GET;

    2) Разделение переменных;

    3) Фильтрация строковых переменных

    1 этап. Анализ переменных
    Проверяйте входящие переменные в самом начале скрипта, не допускайте до работы с функциями и запросами к базе данных ещё не проверенные, потенциально опасные данные от пользователей. Таким образом, все необходимые для защиты функции будуд находиться в одном определённом месте или даже файле.

    Пример: $a1=@$_GET["nomer"]; Символ @ применяется для «игнорирование» интерпритатором ошибок в случае отсутствия переменной nomer в массиве GET.

    2 этап. Разделение переменных
    Абсолютно каждая переменная в скрипте должна на стадии проектирования уже иметь свой тип, будь это число или строка. Лучше всего проверять переменные на необходимый ей тип, например:

    Тип нашей переменной целое число, тогда для фильтрации данных достачно сделать приведение переменную $a1 к целому типу:

    Code
    $a1=@$_GET["nomer"];

    $a1=intval($a1);

    Например злоумышленник ввел в строке запроса ?nomer=43X34 в результате обработки переменная $a1 примет значение 43.

    Нельзя забывать о диапазонах значений. Для этого следует проверить переменную на диапазон. Пусть $a1 находится в пределе от 1 до 100, тогда проверка будет следующей:

    Code
    if (($a1<1)||($a1>100)) $a1=1;

    Из примера видно, что происходит принудительная установка переменной $a1 в значение 1 в случае нарушения.

    3 этап. Фильтрация строковых переменных
    Особо опасны текстовые переменные, например поле для ввода поисковой фразы по сайту. Их просто необходимо проверять на наличие вредоносного кода. Для устранения опасности производится удаление некоторых элементов из текста или замена на другие символы.

    Обычно удаляются html теги, php вставки и конструкции для изменения запросов к базе MySQL.

    Code
    $a1=htmlspecialchars($a1,ENT_QUOTES,"cp1251");

    $a1=str_replace("update","",$a1);



    http://vkontakte. ru/prog_mc
    http://vkontakte. ru/metallizard
    • Страница 1 из 1
    • 1
    Поиск:


    Copyright UnInstallerSofT © 2025 V1T.RU