Antworten: 2
Seite [1] |
|
amMaster Wannabe poster Beiträge: 36 |
# Thema - 14.03.2009 um 11:52 Uhr
Hallo zusammen Ich wollte wissen ob in Clansphere schon einen anti sql injection script eingebaut ist. Habe gegooglt und habe das hier gefunden. mehr... //This prevents SQL Code injection / XSS Attacks. function replace_meta_chars($string){ return @eregi_replace("([*])|([|])|([;]|([`])","",$string); } while(list($keyx,$valuex) = each($_REQUEST)){ if(eregi("([*])|([|])|([;])",$valuex)){ mail("camilo (at) cancun (dot) com","Hack Alert","There's been a SQL Injection hacking attempt. $HTTP_REFERRER $REMOTE_ADDR","FROM:core (at) cancun (dot) com,BCC:bernhardx (at) cancun (dot) com"); } } reset ($_REQUEST); while(list($keyx,$valuex) = each($_REQUEST)){ ${$keyx} = replace_meta_chars($valuex); echo "$keyx $valuex "; } //end anti SQL XSS script. Note: Initially i used the escapeshellcmd() function, but we discovered it was messing with our e-commerce site, as it nukes EVERY metacharacter, included some that are used in credit card transactions; so i had to develop a little function that only nukes what i tell it to. Kann mann das iwie einbauen oder so? Thx 4 Help Quelle: http://webscripts.softpedia.com/script/Snippets/Anti-SQL-Injection-XSS-attacks-s cript-10470.html Zuletzt editiert von amMaster am 14.03.2009 um 11:53 Uhr (1x Editiert)
|
Inaktiv |
|
duRiel Weltmeister Herkunft: Cambridge Beiträge: 7300 |
# Antwort: 1 - 14.03.2009 um 12:33 Uhr
hi, sehr lustig sowas kannst das gerne einbauen, verfolgt aber den selben gedanken wie magic_quotes, was extra von php gerade rausgeschmissen wird weil es keinen sinn macht generell alle daten zu "sichern". zudem ist dieses script schlecht und lässt möglichkeiten für die injection offen. du brauchst dir keine sorgen zu machen, wir haben die sicherheit im blick und machen zur zeit interne schulungen für sicherheitstraining. wenn es aber mit diesen paar zeilen getan wäre, würde wohl kein script der welt sicherheitsprobleme haben. danke jedenfalls für den vorschlag gruß duRiel |
Inaktiv |
|
hajo VIP - Poster Herkunft: Barsbüttel Beiträge: 9411 |
# Antwort: 2 - 14.03.2009 um 13:29 Uhr
die ereg_... funktionen sind zudem großteils durch die mächtigeren und schnelleren preg_... alternativen abgelöst, von daher nehme ich an das script ist schon sehr alt magic_quotes und solche sicherungen sind auch der falsche weg, die bessere alternative sind gezielte input filter wie derzeit im svn bei uns dank duriel vorhanden oder auch das php modul filter seit ca. 5.1 ------------------ ClanSphere - professional clan care starts here |
Offline |
|
Antworten: 2
Seite [1] |
Sie müssen sich registrieren, um zu antworten. |