Diskuse JPW: SQL injection

	Autor	Zpráva
	Alojz Profil *	#1 · Zasláno: 22. 1. 2007, 18:04:28 Odpovědět Citovat Ahoj, V diskusiach, manualoch a podobne sa pise o tejto slabine (SQL INJECTION) v skriptoch, len akosi som este nenasiel zaruceny sposob ako sa tomu branit, teda nieco som hladal, a nieco som nasiel, co napr. pouziva aj phpbb, je to tento kusok kodu: if( !get_magic_quotes_gpc() ) { if( is_array($HTTP_GET_VARS) ) { while( list($k, $v) = each($HTTP_GET_VARS) ) { if( is_array($HTTP_GET_VARS[$k]) ) { while( list($k2, $v2) = each($HTTP_GET_VARS[$k]) ) { $HTTP_GET_VARS[$k][$k2] = addslashes($v2); } @reset($HTTP_GET_VARS[$k]); } else { $HTTP_GET_VARS[$k] = addslashes($v); } } @reset($HTTP_GET_VARS); } if( is_array($HTTP_POST_VARS) ) { while( list($k, $v) = each($HTTP_POST_VARS) ) { if( is_array($HTTP_POST_VARS[$k]) ) { while( list($k2, $v2) = each($HTTP_POST_VARS[$k]) ) { $HTTP_POST_VARS[$k][$k2] = addslashes($v2); } @reset($HTTP_POST_VARS[$k]); } else { $HTTP_POST_VARS[$k] = addslashes($v); } } @reset($HTTP_POST_VARS); } if( is_array($HTTP_COOKIE_VARS) ) { while( list($k, $v) = each($HTTP_COOKIE_VARS) ) { if( is_array($HTTP_COOKIE_VARS[$k]) ) { while( list($k2, $v2) = each($HTTP_COOKIE_VARS[$k]) ) { $HTTP_COOKIE_VARS[$k][$k2] = addslashes($v2); } @reset($HTTP_COOKIE_VARS[$k]); } else { $HTTP_COOKIE_VARS[$k] = addslashes($v); } } @reset($HTTP_COOKIE_VARS); } } Takze otazka: je taketo osetrenie premennych postacujuce, ci ani nie? alebo je bezpecnejsie prekonvertovat apostrofy aj uvodzovky na htmlentity(alebo ako sa to vola) ?
	Časová prodleva: 17 let

Autor

Zpráva

Alojz
Profil *

#1 · Zasláno: 22. 1. 2007, 18:04:28

Ahoj,
V diskusiach, manualoch a podobne sa pise o tejto slabine (SQL INJECTION) v skriptoch, len akosi som este nenasiel zaruceny sposob ako sa tomu branit, teda nieco som hladal, a nieco som nasiel, co napr. pouziva aj phpbb, je to tento kusok kodu:


if( !get_magic_quotes_gpc() )

{

	if( is_array($HTTP_GET_VARS) )

	{

		while( list($k, $v) = each($HTTP_GET_VARS) )

		{

			if( is_array($HTTP_GET_VARS[$k]) )

			{

				while( list($k2, $v2) = each($HTTP_GET_VARS[$k]) )

				{

					$HTTP_GET_VARS[$k][$k2] = addslashes($v2);

				}

				@reset($HTTP_GET_VARS[$k]);

			}

			else

			{

				$HTTP_GET_VARS[$k] = addslashes($v);

			}

		}

		@reset($HTTP_GET_VARS);

	}



	if( is_array($HTTP_POST_VARS) )

	{

		while( list($k, $v) = each($HTTP_POST_VARS) )

		{

			if( is_array($HTTP_POST_VARS[$k]) )

			{

				while( list($k2, $v2) = each($HTTP_POST_VARS[$k]) )

				{

					$HTTP_POST_VARS[$k][$k2] = addslashes($v2);

				}

				@reset($HTTP_POST_VARS[$k]);

			}

			else

			{

				$HTTP_POST_VARS[$k] = addslashes($v);

			}

		}

		@reset($HTTP_POST_VARS);

	}



	if( is_array($HTTP_COOKIE_VARS) )

	{

		while( list($k, $v) = each($HTTP_COOKIE_VARS) )

		{

			if( is_array($HTTP_COOKIE_VARS[$k]) )

			{

				while( list($k2, $v2) = each($HTTP_COOKIE_VARS[$k]) )

				{

					$HTTP_COOKIE_VARS[$k][$k2] = addslashes($v2);

				}

				@reset($HTTP_COOKIE_VARS[$k]);

			}

			else

			{

				$HTTP_COOKIE_VARS[$k] = addslashes($v);

			}

		}

		@reset($HTTP_COOKIE_VARS);

	}

}

Takze otazka: je taketo osetrenie premennych postacujuce, ci ani nie? alebo je bezpecnejsie prekonvertovat apostrofy aj uvodzovky na htmlentity(alebo ako sa to vola) ?

Časová prodleva: 17 let

Toto téma je uzamčeno. Odpověď nelze zaslat.