26-08-2007, 17:53
|
|
|
חבר מתאריך: 25.03.07
הודעות: 21
|
|
ציטוט:
במקור נכתב על ידי fcf
שלום
אני בונה פונקצייה נגד הזרקות למערכת שלי: כמה שאלות
האם קיימת פונקצייה שאומרת לי אם מחרוזת אחת קיימת במחרוזת אחרת ?
למשל אני שולח לה את hello ואת ell היא תחזיר לי 1 אבל אם אני אשלח במקום הפרמטר השני grt היא תחזיר 0
שאלה שנייה היא איך כדאי לי לבדוק את התוכן ? אני אפעיל את הפונקצייה הזאת לאחר שליחת כל טופס במערכת, התוכן יבדק בפונקצייה.
הבדיקה שלי היא האם יש בטופס תוכן כל Insert to, select או update .. פקודות כאלה של SQL
הבעייה היא שאם משתמש יכתוב למשל בטופס update או select הפונקצייה תחסום אותו כי אלה פקודות של SQL
תודה !
|
לי יש דרך נחמדה... -> בתשובה לשאלה 2.
אתה דבר ראשון עושה מערך של המילים ה"רעות".
דבר שני אתה מוריד לאותיות קטנות את המשתנה שאתה רוצה להריץ עליו תבדיקה עם הוא נקי, ואז אתה יוצר לו העתק... להעתק אתה עושה str_replace עם המערך, ואז אתה פשוט בודק עם המשתנה המקורי שווה למשתנה המועתק אחרי הstr_replace, אם הוא שווה זה אומר שלא שונה שום דבר וזה אומר שאין שום מילה מהמערך במשתנה, אם הוא לא שווה אז יש משהו רע.
מקווה שהבנת למה אני גרוע בהסברים חחח...ואממ זה מתייחס רק להזרקות בGET... כי בPOST באמת משתמש סתם יכול לכתוב UPDATE... אז פשוט תעיף תווי HTML וזהו... אין סכנה...תחליף כל מיני תווים מסוכנים בקוד הקסדצמלי ...
נערך לאחרונה ע"י Amir~BS בתאריך 26-08-2007 בשעה 17:55.
|