Взлом через форму ввода
Пользователи, просматривающие топик: none
|
Зашли как: Guest
|
Имя  |
| Сообщение |
<< Старые топики Новые топики >> |
|
|
Взлом через форму ввода - 2007-02-20 09:49:11.496666
|
|
|
!XAOC!
Сообщений: 27
Оценки: 0
Присоединился: 2007-02-09 00:03:54.670000
|
Есть несколько способов взломать вэб-сайтов. Их можна класифицировать на несколько груп:
1. Взлом через форму вводу, такую как, допустим, вы видете при создании нового сообщения
2. Взлом непосредственно пароля на хосте для доступа к файлам сайта
3. Взлом вашего компа для получения Cookies( у тех, кто их использует) в кашему хосту.
Я вот тут размышлял над взломом через форму ввода: в этой строке можна написать "кусок" скрипта и тогда РНР-интерпритатор будет разпознава его как програму.
Как вы защищяетесь от такого взлома? У меня была мысль в начале, что можна запретить теги, но ведь в тексте оч часто нужно их использовать например <BR> <B> <I> и т.д.
Может просто запретить все теги кроме этих?
Что вы посоветуете? Напишите пару примеров.
|
|
|
|
|
RE: Взлом через форму ввода - 2007-02-20 19:28:32.363333
|
|
|
ВИТАХА
Сообщений: 1017
Оценки: 0
Присоединился: 2006-12-27 00:18:16.020000
|
Для этого просто делается функция фильтра на том же ПХП в которой ты фильтруешь символы типа ("<",">"," ' ","/" и т.д.),естесно перед тем распознав текст переданный из формы как строку(масив символов)…
|
|
|
|
|
RE: Взлом через форму ввода - 2007-02-20 19:49:18.880000
|
|
|
Сhaos_Сode
Сообщений: 1049
Оценки: 0
Присоединился: 2006-01-12 11:54:12
|
PHP интерпретатор никогда не распознает кусок кода, введеный в форму, как программу, если конечно программист не обкурился в ноль и не пропускает входящие данные через eval(). Возможна xss.
Чтобы запретить теги кроме определенных, используй preg_replace. А лучше смотри в сторону bb кода.
|
|
|
|
|
RE: Взлом через форму ввода - 2007-02-20 19:51:40.380000
|
|
|
furiousangel
Сообщений: 1116
Оценки: 0
Присоединился: 2005-05-28 06:31:47
|
самая надежная и простая защита в данном случае (имхо) заменять < и > на < и > соответственно. есть еще вариант использовать magic_quotes. но как показала практика в ~30% случаев есть возможность и их обойти. так что вариант №1 полностью исключает вставку тегов (не более).
|
|
|
|
|
RE: Взлом через форму ввода - 2007-02-20 19:55:15.270000
|
|
|
Сhaos_Сode
Сообщений: 1049
Оценки: 0
Присоединился: 2006-01-12 11:54:12
|
htmlentities(), чтобы все спецсимволы Html заменить на мнемоники, лучше юзать. Если оставить определенные теги, то регулярки. Магические кавычки здесь вообще ни к месту.
|
|
|
|
|
|
