[APSAUGA] GET,POST,COOKIE,SESSION

SniuurksT · Vasario 27, 2014

Kadangi pradėjau dirbti su CI frameworku, į sistemas papildomu apsaugų nebereikia dėti, todėl sharinu savo ilgą laiką naudota apsauga.

Apsauga apsaugoja GET, POST, COOKIE, SESSION

Galima nuo apsaugos atjungti tiek get tiek post tiek cookie tiek session.

Tai pat galima naudoti klasės metodus atskirai (Apsaugoti tam tikrą kintamajį)

Naudojimas:

Įkeliate security.php failą prie savo svetainės failų.

index.php failę (Arba bet kuriame faile kurį norite apsaugoti) įrašote šį kodą:

<?php
require_once("KELIAS IKI FAILO/security.php");
new security(array(
    "get" => TRUE,
    "post" => TRUE,
    "cookie" => TRUE,
    "session" => TRUE
));

?>

Pakeisdami iš TRUE į FALSE išjungsite apsauga.

Redaguota Vasario 27, 2014, nario *Myliu SuperGames.lt*

Gytis_Eclipse · Vasario 27, 2014

Peržiūrėjau tavo kodą ir ką gi galiu pasakyti, apsaugota nuo XSS, šaunu. Tie kurie nežino kas tai yra tai galiu paprastai paaiškint tai html + javascript kodo įterpimas į jūsų įvedimus. Taip galima nemažai žalos padaryti tinklalapiui. Manau todėl daug kam pravers.

SniuurksT · Vasario 28, 2014

Peržiūrėjau tavo kodą ir ką gi galiu pasakyti, apsaugota nuo XSS, šaunu. Tie kurie nežino kas tai yra tai galiu paprastai paaiškint tai html + javascript kodo įterpimas į jūsų įvedimus. Taip galima nemažai žalos padaryti tinklalapiui. Manau todėl daug kam pravers.

Apsaugoja ne tik nuo XSS bet ir nuo SQL injekcijų.

Eddie · Vasario 28, 2014

Nuo SQL injection patarčiau geriau naudoti MySQL prepared statements. Šitas kodas toli gražu ne nuo visko apsaugo SQL atžvilgiu.

sancio__ · Vasario 28, 2014

Nu ką, šitas kodukas ne pilnai apsisaugos nuo SQL injekcijų, bet jau nors ne kiekvienas vaikėžas perskaitęs pora ITExposed.lt straipsnių neįsilaužys.
Bet klausimas dėl ko "$sanitize" dėl ko su if tikrinima darai? Man tai pavydžiui gražiau kodas atrodytu jei būtų padaryta su "switch" f-ją.
Na dabar tikiu kad kažka moki. Įpač patiko kad OOP panaudotą.

SniuurksT · Vasario 28, 2014

Nuo SQL injection patarčiau geriau naudoti MySQL prepared statements. Šitas kodas toli gražu ne nuo visko apsaugo SQL atžvilgiu.

Reikia naudoti PDO ir jo prepared statmentus

Nu ką, šitas kodukas ne pilnai apsisaugos nuo SQL injekcijų, bet jau nors ne kiekvienas vaikėžas perskaitęs pora ITExposed.lt straipsnių neįsilaužys.

Bet klausimas dėl ko "$sanitize" dėl ko su if tikrinima darai? Man tai pavydžiui gražiau kodas atrodytu jei būtų padaryta su "switch" f-ją.

Na dabar tikiu kad kažka moki. Įpač patiko kad OOP panaudotą.

Nematau prasmės rašyti switcho kai yra keturi pastovūs checkai.

Kodas 99% apsaugos nuo SQL injekcijų, jeigu bus naudojama PDO su prepared statementais.

Nėra tokios apsaugos, kuri sanitizina ir 100% apsaugo.

Norint, kad apsauga būtų efektyvesnė, vietoj to, kad gražintų atsakymą "pravalius" inputą, reikia kalti die();, bet tada nebus gražinamas joks rezultatas.

Redaguota Vasario 28, 2014, nario *Myliu SuperGames.lt*

sancio__ · Vasario 28, 2014

Reikia naudoti PDO ir jo prepared statmentus

Nematau prasmės rašyti switcho kai yra keturi pastovūs checkai.

Kodas 99% apsaugos nuo SQL injekcijų, jeigu bus naudojama PDO su prepared statementais.

Nėra tokios apsaugos, kuri sanitizina ir 100% apsaugo.

Norint, kad apsauga būtų efektyvesnė, vietoj to, kad gražintų atsakymą "pravalius" inputą, reikia kalti die();, bet tada nebus gražinamas joks rezultatas.

Šeip, kaip ir kiekviena sistema, apsaugos turi spargas. Na bet apsisaugo nuo vaikėžų su tais SQL injekcomis. Jei profai laužysis, tai viska nulauš Tai kad 99% biški nusišnekėjimas.

SniuurksT · Vasario 28, 2014

Šeip, kaip ir kiekviena sistema, apsaugos turi spargas. Na bet apsisaugo nuo vaikėžų su tais SQL injekcomis. Jei profai laužysis, tai viska nulauš Tai kad 99% biški nusišnekėjimas.

Aš tikrai neesu girdėjęs, kad "profai" laužtūsi per sql injekcijas. Vargu ar įmanoma rasti spraga naudojant šią apsauga ir PDO prepared statementus.

sancio__ · Vasario 28, 2014

Aš tikrai neesu girdėjęs, kad "profai" laužtūsi per sql injekcijas. Vargu ar įmanoma rasti spraga naudojant šią apsauga ir PDO prepared statementus.

Ech ._. su tavim sporinti kaip su debilu kažkokiu. KIEKVIENA SISTEMA TURI SPARGŲ ŽMOGAU ATSIGAUK.

SniuurksT · Vasario 28, 2014

Ech ._. su tavim sporinti kaip su debilu kažkokiu. KIEKVIENA SISTEMA TURI SPARGŲ ŽMOGAU ATSIGAUK.

Taip turi, bet tikrai ne SQL INJEKCIJOS spragų!

Tu turbūt gyvenime neesi naudojęs PDO, turbūt net nelabai įsivaizduoji kokios pdo galimybės bei funkcijos.

O jeigu tavo kodas kreivas, pilna loginių klaidų (Turbūt taip, kaip kiekvieno čia "web developerio") tai jokios apsaugos nepadės.

Redaguota Vasario 28, 2014, nario *Myliu SuperGames.lt*

sancio__ · Kovo 1, 2014

Taip turi, bet tikrai ne SQL INJEKCIJOS spragų!

Tu turbūt gyvenime neesi naudojęs PDO, turbūt net nelabai įsivaizduoji kokios pdo galimybės bei funkcijos.

O jeigu tavo kodas kreivas, pilna loginių klaidų (Turbūt taip, kaip kiekvieno čia "web developerio") tai jokios apsaugos nepadės.

:DD Taip aš PDO nenaudoju, nes man jis nepatinka. aš naudoju mysqli, ir moku apsaugoti jį. "loginių klaidų" hmmm, jei nematęs mano darbų to nesakyk bybiuk. Pats nieka geriau esi.

SniuurksT · Kovo 1, 2014

:DD Taip aš PDO nenaudoju, nes man jis nepatinka. aš naudoju mysqli, ir moku apsaugoti jį. "loginių klaidų" hmmm, jei nematęs mano darbų to nesakyk bybiuk. Pats nieka geriau esi.

Mysqli ^^ aišku. Net nebeverta ginčytis (Nebūtų PHP nutraukęs mysql palaikymo turbūt nebenaudotum mysql)

P.S garantuoju, kad mysqli naudoji be Mysqli OOP .

P.S.S

Didžiausi mysqli trūkumai ir kodėl niekas nenaudoja mysqli:

Nėra named parametrų, nėra prepared statementu, PDO palaiko 12 skirtingų DB driverių, kai mysqli palaiko tik vieną.

Redaguota Kovo 1, 2014, nario *Myliu SuperGames.lt*

Eddie · Kovo 1, 2014

Mysqli ^^ aišku. Net nebeverta ginčytis (Nebūtų PHP nutraukęs mysql palaikymo turbūt nebenaudotum mysql)

P.S garantuoju, kad mysqli naudoji be Mysqli OOP .

P.S.S

Didžiausi mysqli trūkumai ir kodėl niekas nenaudoja mysqli:

Nėra named parametrų, nėra prepared statementu, PDO palaiko 12 skirtingų DB driverių, kai mysqli palaiko tik vieną.

Yra. http://www.php.net/manual/en/mysqli.quickstart.prepared-statements.php

SniuurksT · Kovo 2, 2014

Yra. http://www.php.net/manual/en/mysqli.quickstart.prepared-statements.php

Jie vadinasi "parameterized statement", palygink pdo statementus ir mysqlli.

Pdo:

$sth = $dbh->prepare('SELECT * FROM table WHERE n = ? AND x = ?');
$sth->execute(array(50, 100));
$sth = $sth->fetchAll();

Kai tuo tarpu, mysqli parameterized statement:

$sth = $mysqli -> prepare("SELECT * FROM table WHERE n = ? AND x = ?"))
$sth -> bind_param("ii", 50, 100); $sth -> execute(); 
$sth -> bind_result($res);
$sth -> fetch();

;

Redaguota Kovo 2, 2014, nario *Myliu SuperGames.lt*

Eddie · Kovo 2, 2014

Jie vadinasi "parameterized statement", palygink pdo statementus ir mysqlli.

Pdo:

$sth = $dbh->prepare('SELECT * FROM table WHERE n = ? AND x = ?');
$sth->execute(array(50, 100));
$sth = $sth->fetchAll();

Kai tuo tarpu, mysqli parameterized statement:

$sth = $mysqli -> prepare("SELECT * FROM table WHERE n = ? AND x = ?"))
$sth -> bind_param("ii", 50, 100); $sth -> execute(); 
$sth -> bind_result($res);
$sth -> fetch();

;

Nesiginčyju, kad kažkuris geresnis ar panašiai. Tiesiog konstatuoju faktą, kad prepared statementai yra ir MySQLi. Vadinasi jie prepared statements ARBA parameterised statement (čia jau gali ginčytis iki nukritimo, php.net taip parašyta).

SniuurksT · Kovo 2, 2014

Nesiginčyju, kad kažkuris geresnis ar panašiai. Tiesiog konstatuoju faktą, kad prepared statementai yra ir MySQLi. Vadinasi jie prepared statements ARBA parameterised statement (čia jau gali ginčytis iki nukritimo, php.net taip parašyta).

Tarp php devu visi žino skirtumą tarp prepared ir parameterised kurį praitam poste parodžiau.

Eddie · Kovo 2, 2014

http://en.wikipedia.org/wiki/Prepared_statement
"In database management systems, a prepared statement or parameterized statement is a feature used to execute the same or similar database statements repeatedly with high efficiency."

O čia, developeriau, kai eisi į interviu kada, kad neužveltum tokios nesąmonės, kaip ką tik užvėlei:

http://www.programmerinterview.com/index.php/database-sql/parameterized-queries-vs-prepared-statements/

*DeMo* · Kovo 11, 2014

Gal kas galit paaiskinti kas geriau mysql ar mysqli ? kuris saugesnis ?

*DeMo* · Kovo 11, 2014

Gal kas pauškinkite kas geriau mysql ar mysqli ? kuris saugesnis ?

Redaguota Kovo 11, 2014, nario *DeMo*

SniuurksT · Kovo 11, 2014

Gal kas pauškinkite kas geriau mysql ar mysqli ? kuris saugesnis ?

Mysql - Jau ilgai nebepalaikomas PHP

Kaip ir atsakiau į tavo klausimą, Mysqli tikrai saugesnis.

Mano patarimas nenaudoti nei Mysql nei mysqli, o naudoti PDO.

Prisijungti

[APSAUGA] GET,POST,COOKIE,SESSION

Recommended Posts

SniuurksT

Gytis_Eclipse

SniuurksT

Eddie

sancio__

SniuurksT

sancio__

SniuurksT

sancio__

SniuurksT

sancio__

SniuurksT

Eddie

SniuurksT

Eddie

SniuurksT

Eddie

DeMo

DeMo

SniuurksT

Prisijungti prie diskusijos

Šiame puslapyje naršo: 0 nariai

Skelbimai

Naujausios temos

Naujausi būsenos atnaujinimai

Nustatymai

Teksto formatavimas

Nario nuotrauka

Member

Nustatymai

Populiariausi nariai

📝 Referatai, konspektai, kursiniai ir kt. rašto darbai ✏️

📝 Referatai, konspektai, kursiniai ir kt. rašto darbai ✏️

📝 Referatai, konspektai, kursiniai ir kt. rašto darbai ✏️

Naujienos

Bendruomenė

Prisijungti

[APSAUGA] GET,POST,COOKIE,SESSION

Recommended Posts

Prisijungti prie diskusijos

Šiame puslapyje naršo: 0 nariai

Skelbimai

Naujausios temos

Naujausi būsenos atnaujinimai Nustatymai Teksto formatavimas Nario nuotrauka Member Išsaugoti

Nustatymai

Populiariausi nariai

Naujausi būsenos atnaujinimai

Nustatymai

Teksto formatavimas

Nario nuotrauka

Member