[دالة] تأمين النص من اخطار XSS و SQL INJECTION - الصفحة 2

shmr · 21-07-2007, 10:34 PM

اقتباس:

الكاتب : coder

تفضل واذكر ما الشيء الذي لم تفهمه حتى يتم توضيحه

كالتالي:

كود PHP:

  $row['vi'] = make_safe($row['vi'];

$row['id'] = make_safe($row['id'];

$row['name'] = make_safe($row['name'];

الف شكر وجزاك الله خير الصراحه استاذ بمعنى الكلمه ومحب للخير

enigma · 08-08-2007, 05:55 PM

اقتباس:

كود PHP:

  $row['vi'] = make_safe($row['vi']; 

$row['id'] = make_safe($row['id']; 

$row['name'] = make_safe($row['name'];

طيب لدي سؤال هل يتوجب علينا وضع جميع البيانات المستخرجة من قواعد البيانات في دالة الحماية.
(انا اقصد بعد الإضافة وليس قبل الإضافة) أي أنني اريد استعراض البيانات.
أما بالنسبة لطريقة العرض فهي في تحديد رقم المعرف للموضوع
واكييد تم حماية الرابط هكذا:

كود PHP:

  index.php?show=$id

//الأي دي هنا محمي عن طريق الدالة

intval($_GET['id']);

وهل هذه الدالة تكفي لعدم إدخال بيانات بعد رقم الآي دي المعروض؟

لكن اريد استعراض العنوان والنص هكذا:

كود PHP:

  echo "

$row['t'];

$row['text'];

"

enigma · 09-08-2007, 02:29 PM

up
up
up
...

petit_petit · 10-08-2007, 01:53 PM

موضوع مهم إخواني
لمذا أخي لا نستعمل دالة الحماية فقط عند إدخال البيانات إلى القاعدة فقط
دون تطبيق الدالة على المخرجات من القاعدة هذا حسب رأيي
ثانيا بالنسبة إلى هنا index.php?show=$id
يمكننا التأكد من المتغير id و تطبيق جميع الدوال التي تقوم بجعل هذا المتغير آمنا
يمكننا كذلك إستعمال التعابير القياسية إن أمكن
أخيرا أرجو أن يظل هذا الموضوع مفتوحا حول أمن السكريبت من ثغرات xss و SQl INJECTION

enigma · 10-08-2007, 03:17 PM

نعم بالنسبة للاستعلام عن بعض البيانات من القاعدة هل في جلب البيانات منها خطورة على السكربت
ولماذا نجعل الحماية على جميع المستخرجات من بيانات؟
هل يمكن أن يرى (مخترق محترف) ما يتم ترجمته في السيرفر من بيانات وإخراجه كـ نص أو صورة أو رقم إلى الصفحة العادية؟
إن كانت المتغيرات المستعلمة في قراءة البيانات من القاعدة ولن تظهر للمتصفح أبداً ولن تكون سوى بيانات html ونصوص وصور وغيرها... فلماذا نحميها من عمليات الاختراق

لو افترضنا أن هناك متغير نقوم باستخدامه لجلب الصفحة مثلاً:
$id
هذا نعم ممكن أن يأثر لأن السبب في ذلك هو وجوده في دالة استعلام مثلاً:

كود PHP:

  $query = mysql_query("SELECT id, title, text FORM $tablename WHERE id=$id");

while ($row = mysql_fetch_array($query)) {

echo $row['title'];

echo $row['text'];

}

نعم هذا الاستعلام ممكن أن يشكل خطورة ولذلك نضعه في إحدى الدوال المصنوعة أو الجاهزة

كود PHP:

  $id = intval($_GET['id']);

$id = make_safe($id);

طيب لماذا نضع المتغيرات الأخرى في دوال حماية
مثل المتغيران الآخران title و text ؟!

islamcoming · 05-04-2008, 06:28 PM

هل هذا كافي للحماية أم لا ؟

كود PHP:

  $login = mysql_real_escape_string(htmlspecialchars(addslashes(trim($_POST['login']))));
$pass  = mysql_real_escape_string(htmlspecialchars(addslashes(trim($_POST['pass']))));
$sql= "SELECT * FROM admin WHERE Login='$login' and Pass='$pass'";

بلال كيالي · 19-04-2008, 01:11 AM

السلام عليكم
ألف شكر على الfunction الراائع
انا ضفت على الfunction
شغلات ممكن تشفلي ياها مفيدة ولا هيه إضافات ما بتزيد ولا بتنقص

كود هتمل:

function make_safe($vars){
	$wrong = array("select", "where", "insert", "delete", "update", "order by", "and", "=", "or", "between");
		$html =strtolower(mysql_real_escape_string(htmlspecialchars(addslashes(trim(str_replace($wrong,"******",$vars))))));
return $html ;
}

والسلالالالالالام

the_unknown · 19-04-2008, 04:07 AM

اسمحولي , و لكن الموضوع كان 10-08-2007, 02:17 PM

!الشبح الاسود! · 27-04-2008, 09:11 PM

اقتباس:

الكاتب : coder

السلام عليكم ورحمة الله وبركاته

الدالة بسيطة جداً وتكفيني بصراحة فيما يخص تأمين اي نص مدخل من قبل الزائر أو العضو ضد أخطار XSS و SQL INJECTION او باختصار (اختراق الموقع)..

كود PHP:

  function make_safe($str)

{

    return htmlspecialchars(addslashes(trim($str)));

}

طريقة الاستخدام:

كود PHP:

  $safe_string = make_safe($_GET['user_input']);

بعد ذلك يمكنك استخدام النص بامان في اي استعلامات او طباعة للشاشة بدون قلق

اتمنى من الله عدم القصور
وارجو ان تكون مفيدة لكم

تحياتي
محمود

اخي الغالي

اريد استخدامها كمنتج لـvbulletin

اذا حطتها في منتج بحطها كدا فقط

كود PHP:

  function make_safe($str)

{

    return htmlspecialchars(addslashes(trim($str)));

}  

$safe_string = make_safe($_GET['user_input']);

واذا يوجود تعديل يرجي التعديل بأنتظارك يالغلا

جزاك الله خير

09-08-2007, 02:29 PM	#13 (permalink)
enigma عضو فعال تاريخ الانتساب: 04-03-2007 المكان: العراق مشاركات: 655 مستوى السمعة : 2	رد : [دالة] تأمين النص من اخطار XSS و SQL INJECTION up up up ...

10-08-2007, 01:53 PM	#14 (permalink)
petit_petit عضو نشيط تاريخ الانتساب: 05-04-2007 المكان: in my housse السن: 17 مشاركات: 114 مستوى السمعة : 2	رد : [دالة] تأمين النص من اخطار XSS و SQL INJECTION موضوع مهم إخواني لمذا أخي لا نستعمل دالة الحماية فقط عند إدخال البيانات إلى القاعدة فقط دون تطبيق الدالة على المخرجات من القاعدة هذا حسب رأيي ثانيا بالنسبة إلى هنا index.php?show=$id يمكننا التأكد من المتغير id و تطبيق جميع الدوال التي تقوم بجعل هذا المتغير آمنا يمكننا كذلك إستعمال التعابير القياسية إن أمكن أخيرا أرجو أن يظل هذا الموضوع مفتوحا حول أمن السكريبت من ثغرات xss و SQl INJECTION __________________ http://www.danasoft.com/vipersig.jpg[IMG][IMG]http://testone.110mb.com/f2.php

10-08-2007, 03:17 PM	#15 (permalink)
enigma عضو فعال تاريخ الانتساب: 04-03-2007 المكان: العراق مشاركات: 655 مستوى السمعة : 2	رد : [دالة] تأمين النص من اخطار XSS و SQL INJECTION نعم بالنسبة للاستعلام عن بعض البيانات من القاعدة هل في جلب البيانات منها خطورة على السكربت ولماذا نجعل الحماية على جميع المستخرجات من بيانات؟ هل يمكن أن يرى (مخترق محترف) ما يتم ترجمته في السيرفر من بيانات وإخراجه كـ نص أو صورة أو رقم إلى الصفحة العادية؟ إن كانت المتغيرات المستعلمة في قراءة البيانات من القاعدة ولن تظهر للمتصفح أبداً ولن تكون سوى بيانات html ونصوص وصور وغيرها... فلماذا نحميها من عمليات الاختراق لو افترضنا أن هناك متغير نقوم باستخدامه لجلب الصفحة مثلاً: $id هذا نعم ممكن أن يأثر لأن السبب في ذلك هو وجوده في دالة استعلام مثلاً: كود PHP: `$query = mysql_query("SELECT id, title, text FORM $tablename WHERE id=$id"); while ($row = mysql_fetch_array($query)) { echo $row['title']; echo $row['text']; }` نعم هذا الاستعلام ممكن أن يشكل خطورة ولذلك نضعه في إحدى الدوال المصنوعة أو الجاهزة كود PHP: `$id = intval($_GET['id']); $id = make_safe($id);` طيب لماذا نضع المتغيرات الأخرى في دوال حماية مثل المتغيران الآخران title و text ؟! قام بآخر تعديل enigma يوم 10-08-2007 في 03:19 PM

05-04-2008, 06:28 PM	#16 (permalink)
islamcoming عضو فعال تاريخ الانتساب: 23-01-2008 المكان: المغرب - القصر الكبير - السن: 15 مشاركات: 290 مستوى السمعة : 1	رد : [دالة] تأمين النص من اخطار XSS و SQL INJECTION هل هذا كافي للحماية أم لا ؟ كود PHP: `$login = mysql_real_escape_string(htmlspecialchars(addslashes(trim($_POST['login'])))); $pass = mysql_real_escape_string(htmlspecialchars(addslashes(trim($_POST['pass'])))); $sql= "SELECT * FROM admin WHERE Login='$login' and Pass='$pass'";`

19-04-2008, 01:11 AM	#17 (permalink)
بلال كيالي عضو فعال تاريخ الانتساب: 10-04-2008 المكان: Syria السن: 21 مشاركات: 295 مستوى السمعة : 1	رد : [دالة] تأمين النص من اخطار XSS و SQL INJECTION السلام عليكم ألف شكر على الfunction الراائع انا ضفت على الfunction شغلات ممكن تشفلي ياها مفيدة ولا هيه إضافات ما بتزيد ولا بتنقص كود هتمل: function make_safe($vars){ $wrong = array("select", "where", "insert", "delete", "update", "order by", "and", "=", "or", "between"); $html =strtolower(mysql_real_escape_string(htmlspecialchars(addslashes(trim(str_replace($wrong,"******",$vars)))))); return $html ; } والسلالالالالالام __________________ http://www.yabdoo.com/users/476/gallery/670_p145853.gif

19-04-2008, 04:07 AM	#18 (permalink)
the_unknown عضو نشيط تاريخ الانتساب: 17-11-2007 المكان: المغـــــرب بمدينة تطوان السن: 20 مشاركات: 95 مستوى السمعة : 2	رد : [دالة] تأمين النص من اخطار XSS و SQL INJECTION اسمحولي , و لكن الموضوع كان 10-08-2007, 02:17 PM __________________ http://sadi9i.com/the_unknown.png

LinkBacks (?) LinkBack to this Thread: http://www.montadaphp.net/t782/
الكاتب	For	Type	التاريخ
[ظ†ظ‚ط§ط´+ ظƒظˆط¯] ظƒظˆط¯ طظ…ط§ظٹظ‡ ط§ظ„ظ…ط¯ط®ظ„ط§طھ - ط³ظˆط§ظ„ظپ ط³ظˆظپطھ	This thread	Refback	20-10-2008 06:45 AM
مطلوب مساعدة بسيطة - ::TRAIDNT FORUM::	This thread	Refback	20-09-2008 07:30 PM
[داله للحمايه] تقي من اخطار ثثغرات xss و sql injection - ::TRAIDNT FORUM::	This thread	Refback	23-08-2008 10:12 PM

زوار هذا الموضوع الآن : 1 (0 عضو و 1 ضيف)

أدوات الموضوع
عرض صفحة الطباعة إرسال هذه الصفحة إلى صديق
طريقة العرض
عادي متطور شجري

مواضيع ذات صلة
الموضوع	الكاتب	المجلس	المشاركات	المشاركة الأخيرة
[دالة] str_ireplace() [استبدال جزء من النص]	coder	دوال التعامل مع النصوص	12	11-12-2008 01:26 AM
دالة بسيطة للحماية من اخطار SQLInjection	the_unknown	دوال خاصة	9	11-11-2008 06:36 PM
دالة طباعة النص بالأكواد كما هو	ahmeds_link	دوال التعامل مع النصوص	2	20-08-2008 01:39 PM
[دالة] str_replace() [استبدال جزء من النص]	coder	دوال التعامل مع النصوص	3	06-08-2007 03:05 PM
[دالة] show_source() لتلوين النص	ايهاب الغزال	دوال التعامل مع النصوص	8	07-06-2007 01:07 AM

الاسم		حفظ ؟
كلمة المرور