לוגו אתר Fresh          
 
 
  אפשרות תפריט  ראשי     אפשרות תפריט  צ'אט     אפשרות תפריט  מבזקים     אפשרות תפריט  צור קשר     חץ שמאלה ‎print ‎"Hello World!"; if‎ ‎not rules.‎know ‎then rules.‎read(); חץ ימינה  

לך אחורה   לובי הפורומים > מחשבים > תכנות ובניית אתרים
רענן עמוד זה אבטחת טופס התחברות
שמור לעצמך קישור לדף זה באתרי שמירת קישורים חברתיים
תגובה
« לאשכול הקודם | לאשכול הבא »
 
כלי אשכול חפש באשכול זה



  #1  
ישן 24-06-2009, 20:09
  משתמש זכר inspired-session inspired-session אינו מחובר  
מנהל מולטימדיה
  
חבר מתאריך: 07.12.07
הודעות: 1,955
אבטחת טופס התחברות
שלום

יש לי טופס התחברות פשוט שמיישם פעולת התחברות פשוטה.
כמובן שהטופס ניגש למסד נתונים. ופה בדיוק הבעיה.
אני רוצה לאבטח את הטופס הזה, עד כמה שאפשר.
אשמח לקבל איזו רשימה של כל האמצעים שאני צריך להשתמש בהם על מנת לאבטח טופס.

תודה לעוזרים

רועי
_____________________________________



תגובה ללא ציטוט תגובה עם ציטוט חזרה לפורום
  #2  
ישן 24-06-2009, 20:36
  משתמש זכר dorM dorM אינו מחובר  
מנהל
  
חבר מתאריך: 26.07.08
הודעות: 6,473
בתגובה להודעה מספר 1 שנכתבה על ידי inspired-session שמתחילה ב "אבטחת טופס התחברות"
מאיזו בחינה לאבטח?

הכל תלוי לאן הנתונים מגיעים:

אם הנתונים נכנסים לתוך שאילתא שמוגשת למסד הנתונים, צריך להריץ mysql_real_esacpe_string על המחרוזת כדי להבריח תוים שיכולים להיחשב כאלמנטים של שפת ה-SQL, במקום שייחשבו בתור מחרוזת.

מלבד זאת, אם הנתונים נכנסים לפיסקת LIKE, יש להבריח תווים אחרים (בדר"כ את התוים '%' ו- '_'), כיוון שלפיסקת LIKE יש תחביר\"חוקים" אחרים.
ההברחה תיעשה ע"י הוספת קידומת של לוכסן אחורי ( \ ) לתוים הנ"ל.

חשוב להבין שזה הכל תלוי באיפה הנתון יכול להגיע ומה הוא עלול לעשות במקום הזה.

אם הנתונים יגיעו מתישהו למסמך HTML, יש להבריח אותם עם הפונקציה שממירה תוי HTML מסוימים לחלופות ה-entities שלהם.

עריכה:

אתן דוגמא טובה למתי אין צורך להבריח תוי HTML מסוימים - כאשר בפאנל הניהול, אתה נותן אפשרות לאדמין לערוך עמוד HTML, שבו אתה מאפשר לו לכתוב קוד HTML טהור בלי שינויים כלל. (אין שום מעבר מ-BBCODE ל-HTML, אלא רק HTML היישר מעורך ה-WYSIWYG)
נערך לאחרונה ע"י dorM בתאריך 24-06-2009 בשעה 21:09.
תגובה ללא ציטוט תגובה עם ציטוט חזרה לפורום
  #3  
ישן 24-06-2009, 20:50
  משתמש זכר inspired-session inspired-session אינו מחובר  
מנהל מולטימדיה
  
חבר מתאריך: 07.12.07
הודעות: 1,955
בתגובה להודעה מספר 2 שנכתבה על ידי dorM שמתחילה ב "מאיזו בחינה לאבטח? הכל תלוי..."
אז מכל המקרים שציינת, אצלי הם מגיעים רק לשאילתא שמוגשת למסד הנתונים.
לא לHTML, ולא לLIKE.
אז mysql_real_esacpe_string לבד, תמלא את התפקיד?
_____________________________________



תגובה ללא ציטוט תגובה עם ציטוט חזרה לפורום
  #4  
ישן 24-06-2009, 21:14
  משתמש זכר dorM dorM אינו מחובר  
מנהל
  
חבר מתאריך: 26.07.08
הודעות: 6,473
בתגובה להודעה מספר 3 שנכתבה על ידי inspired-session שמתחילה ב "אז מכל המקרים שציינת, אצלי הם..."
mysql_real_escape_string תמלא את התפקיד בתנאי שמסד הנתונים יודע מהו הקידוד של התוים האלו.

מומלץ להגדיר את הקידוד באמצעות פונקציות הממשק למסד הנתונים, כמו mysqli::set_charset. אם הפונקציה לא קיימת\זמינה, אפשר עם שאילתת SET NAMES, אך כפי שכתוב בדוקו' זה לא מומלץ.

ד"א אני חושב שכדאי שתעבור ל- mysqli במקום mysql. המעבר לא אמור להיות קשה בכלל בזכות ה-OOP של PHP5.
תגובה ללא ציטוט תגובה עם ציטוט חזרה לפורום
  #5  
ישן 24-06-2009, 21:16
  משתמש זכר inspired-session inspired-session אינו מחובר  
מנהל מולטימדיה
  
חבר מתאריך: 07.12.07
הודעות: 1,955
בתגובה להודעה מספר 4 שנכתבה על ידי dorM שמתחילה ב "mysql_real_escape_string תמלא..."
קידוד מסד הנתונים מוגדר כUTF8 general ci .
ואני משתמש בset names בשביל להגדיר את קידוד ההעברה.

הטופס עובד אחרי ששמתי את mysql_real_escape_string על המשתנים שנשלחים בשאילתא.

תודה
_____________________________________



תגובה ללא ציטוט תגובה עם ציטוט חזרה לפורום
  #6  
ישן 24-06-2009, 21:31
  משתמש זכר dorM dorM אינו מחובר  
מנהל
  
חבר מתאריך: 26.07.08
הודעות: 6,473
בתגובה להודעה מספר 5 שנכתבה על ידי inspired-session שמתחילה ב "קידוד מסד הנתונים מוגדר כUTF8..."
NP : - )

רק בשביל הדיוק: x_general_ci זה בוודאות ה-collation של הקידוד, כלומר קבוצת חוקים שבעזרתם מבצעים sorting למחרוזות.

ציטוט:
ואני משתמש בset names בשביל להגדיר את קידוד ההעברה.

אתה יכול להיעזר בפונקציה function_exists כדי לבדוק אם הפונקציה של הממשק למסד קיימת.

ציטוט:
הטופס עובד אחרי ששמתי את mysql_real_escape_string על המשתנים שנשלחים בשאילתא.

אין צורך לשים על כולם, אלא רק על המחרוזות.
עבור שאר המשתנים, שהם לדוגמא מסוג int, פשוט תבצע casting ל- int באמצעות PHP, ואתה יכול לשים את זה היישר בשאילתא.
תגובה ללא ציטוט תגובה עם ציטוט חזרה לפורום
  #7  
ישן 25-06-2009, 12:13
  משתמש זכר inspired-session inspired-session אינו מחובר  
מנהל מולטימדיה
  
חבר מתאריך: 07.12.07
הודעות: 1,955
בתגובה להודעה מספר 6 שנכתבה על ידי dorM שמתחילה ב "NP : - ) רק בשביל הדיוק:..."
אוקיי
_____________________________________



תגובה ללא ציטוט תגובה עם ציטוט חזרה לפורום
תגובה
« לאשכול הקודם | לאשכול הבא »

כלי אשכול חפש באשכול זה
חפש באשכול זה:

חיפוש מתקדם
מצבי תצוגה דרג אשכול זה
מצב כלאיים מצב כלאיים
דרג אשכול זה:

מזער את תיבת המידע אפשרויות משלוח הודעות
אתה לא יכול לפתוח אשכולות חדשים
אתה לא יכול להגיב לאשכולות
אתה לא יכול לצרף קבצים
אתה לא יכול לערוך את ההודעות שלך
קוד vB פעיל
קוד [IMG] פעיל
קוד HTML כבוי
מעבר לפורום



כל הזמנים המוצגים בדף זה הם לפי איזור זמן GMT +2. השעה כעת היא 04:48

הדף נוצר ב 0.05 שניות עם 10 שאילתות
צור קשר - Fresh - למעלה

הפורום מבוסס על vBulletin, גירסא 3.0.6
כל הזכויות לתוכנת הפורומים שמורות © 2024 - 2000 לחברת Jelsoft Enterprises.
כל הזכויות שמורות ל Fresh.co.il ©

צור קשר | תקנון האתר