News - Features - Downloads - Forum - Team - Support - Switch View: Screen
Login - Registrierung - Passwort vergessen

Antworten: 2
Seite [1]
amMaster


Wannabe poster




Beiträge: 36
 # Thema - 14.03.2009 um 11:52 Uhr
Hallo zusammen

Ich wollte wissen ob in Clansphere schon einen anti sql injection script eingebaut ist.

Habe gegooglt und habe das hier gefunden.

mehr... +-
//This prevents SQL Code injection / XSS Attacks.

function replace_meta_chars($string){
return @eregi_replace("([*])|([|])|([;]|([`])","",$string);
}

while(list($keyx,$valuex) = each($_REQUEST)){
if(eregi("([*])|([|])|([;])",$valuex)){
mail("camilo (at) cancun (dot) com","Hack Alert","There's been a SQL Injection hacking attempt. $HTTP_REFERRER $REMOTE_ADDR","FROM:core (at) cancun (dot) com,BCC:bernhardx (at) cancun (dot) com");
}
}

reset ($_REQUEST);
while(list($keyx,$valuex) = each($_REQUEST)){
${$keyx} = replace_meta_chars($valuex);
echo "$keyx $valuex
";
}
//end anti SQL XSS script.

Note: Initially i used the escapeshellcmd() function, but we discovered it was messing with our e-commerce site, as it nukes EVERY metacharacter, included some that are used in credit card transactions; so i had to develop a little function that only nukes what i tell it to.


Kann mann das iwie einbauen oder so?

Thx 4 Help

Quelle: http://webscripts.softpedia.com/script/Snippets/Anti-SQL-Injection-XSS-attacks-s cript-10470.html


Zuletzt editiert von amMaster am 14.03.2009 um 11:53 Uhr (1x Editiert)
Inaktiv
duRiel ClanSphere Team


Weltmeister




Herkunft: Cambridge
Beiträge: 7300
 # Antwort: 1 - 14.03.2009 um 12:33 Uhr
hi,
sehr lustig sowas
kannst das gerne einbauen, verfolgt aber den selben gedanken wie magic_quotes, was extra von php gerade rausgeschmissen wird weil es keinen sinn macht generell alle daten zu "sichern". zudem ist dieses script schlecht und lässt möglichkeiten für die injection offen.

du brauchst dir keine sorgen zu machen, wir haben die sicherheit im blick und machen zur zeit interne schulungen für sicherheitstraining. wenn es aber mit diesen paar zeilen getan wäre, würde wohl kein script der welt sicherheitsprobleme haben.

danke jedenfalls für den vorschlag

gruß
duRiel


Inaktiv
|
hajo ClanSphere Team


VIP - Poster




Herkunft: Barsbüttel
Beiträge: 9411
 # Antwort: 2 - 14.03.2009 um 13:29 Uhr
die ereg_... funktionen sind zudem großteils durch die mächtigeren und schnelleren preg_... alternativen abgelöst, von daher nehme ich an das script ist schon sehr alt

magic_quotes und solche sicherungen sind auch der falsche weg, die bessere alternative sind gezielte input filter wie derzeit im svn bei uns dank duriel vorhanden oder auch das php modul filter seit ca. 5.1


------------------
ClanSphere - professional clan care starts here

Inaktiv
|
Antworten: 2
Seite [1]


Sie müssen sich registrieren, um zu antworten.

ClanSphere Project - Mailus - Imprint - Disclaimer - Scriptinfo