/
  • غیر فعال کردن کدهای اجرایی

  • ارسال پاسخ   امتیاز موضوع:
    • 1 رأی - میانگین امیتازات: 5
    • 1
    • 2
    • 3
    • 4
    • 5

    حالت موضوعی | حالت خطی غیر فعال کردن کدهای اجرایی
    نویسنده پیام
    abedi98 آفلاین
    PHP/MySQL
    ***

    ارسال‌ها: 195
    تاریخ عضویت: ۱۳۸۷ اسفند ۴
    اعتبار: 1
    تشکرها : 47
    ( 6 تشکر در 6 ارسال )
    ارسال: #1
    غیر فعال کردن کدهای اجرایی
    سلام
    دوستان من یک سیستمی نوشتم و حالا میخوام از نظر امنیتی تا اونجایی که مغز و دوستان یاری کنن این سیستم رو امن کنم

    اول اینکه یک فرم ارسال نظر هست که تو دیتابیس از نوع text تعریف شده و کاربر داخل یک textarea هر چی بخواد مینویسه !

    مثلاً میتونه کد زیر رو اجرا کنه ( <script> alert("hacked"); </script> )
    که هر وقت صفحه ارسال نظر باز بشه یک msgbox باز میشه

    لطفاً در مورد غیر فعال کردن کد ها راهنمایی کنید !

    و چون در کل سیستم بیشتر همه صفحه هات و کارها با $_GET انجام میشه ممنون میشم در مورد کامل کردن امنیت ارسال های GET هم راهنمایی کنید
    __________________________________________________________________________
    ---------------------------------------------------------------------------
    خدایا ، مگر می شود تو باشی و ما تنها باشیم ؟
    ۱۳۸۸ مرداد ۲ ۰۲:۴۵ عصر
    یافتن ارسال‌ها پاسخ با نقل قول
     تشکر شده توسط :
    Na3r آفلاین
    ناصر خلقی
    *****

    ارسال‌ها: 412
    تاریخ عضویت: ۱۳۸۷ دي ۳
    اعتبار: 11
    تشکرها : 257
    ( 576 تشکر در 308 ارسال )
    ارسال: #2
    RE: غیر فعال کردن کدهای اجرایی
    اگه شما طبق FIEO عمل کنی مشکلی پیش نمیاد
    فقط کافی توابع این کار رو یاد بگیرید
    مثل
    htmlentities
    strip_tags
    و ...
    (آخرین ویرایش در این ارسال: ۱۳۸۸ مرداد ۲ ۰۴:۲۹ عصر، توسط Na3r.)
    ۱۳۸۸ مرداد ۲ ۰۴:۲۸ عصر
    یافتن ارسال‌ها پاسخ با نقل قول
     تشکر شده توسط : Alimokhlesi HiddeN
    scooter آفلاین
    عضو مهم
    ****

    ارسال‌ها: 391
    تاریخ عضویت: ۱۳۸۷ دي ۳
    اعتبار: 3
    تشکرها : 239
    ( 54 تشکر در 42 ارسال )
    ارسال: #3
    RE: غیر فعال کردن کدهای اجرایی
    سلام یه سواله که مدتها ذهن منو مشغول کرده و چون فکر میکردم که این سوال دوستمون هم هست برای همین اینجا سوالم رو می پرسم
    من وقتی می خوام یک مورد رو ارجاع بدم به صفحه جدید(مثلا ادامه مطلب) اینجوری مینویسم
    کد PHP:
    <a href='selectcity.php?select=1&id=$row[id]'>".$row['city_name']."</a

    و در صفحه جدید اینجوری اون رو میگیرم
    کد PHP:
    $sql=@"select * from addcity where id=$_GET[id] LIMIT 1"

    ولی میدونم که این خیلی ناامنه .سوال من اینه که مثلا در این مورد برای امنیت بیشتر چی کار باید کرد؟
    __________________________________________________________________________
    welcome to the club
    (آخرین ویرایش در این ارسال: ۱۳۸۸ مرداد ۵ ۰۷:۵۵ عصر، توسط scooter.)
    ۱۳۸۸ مرداد ۵ ۰۷:۳۹ عصر
    یافتن ارسال‌ها پاسخ با نقل قول
     تشکر شده توسط :
    Na3r آفلاین
    ناصر خلقی
    *****

    ارسال‌ها: 412
    تاریخ عضویت: ۱۳۸۷ دي ۳
    اعتبار: 11
    تشکرها : 257
    ( 576 تشکر در 308 ارسال )
    ارسال: #4
    RE: غیر فعال کردن کدهای اجرایی
    از تابع mysql_real_escape_string استفاده کن

    کد PHP:
    <?php
    $sql
    ="select * from addcity where id=%d LIMIT 1"
    $sql=sprintf($sql,mysql_real_escape_string($_GET['id']));
    ?>
    ۱۳۸۸ مرداد ۹ ۰۳:۳۱ عصر
    یافتن ارسال‌ها پاسخ با نقل قول
     تشکر شده توسط : molana HiddeN
    scooter آفلاین
    عضو مهم
    ****

    ارسال‌ها: 391
    تاریخ عضویت: ۱۳۸۷ دي ۳
    اعتبار: 3
    تشکرها : 239
    ( 54 تشکر در 42 ارسال )
    ارسال: #5
    RE: غیر فعال کردن کدهای اجرایی
    کد PHP:
    id=%
    ببخشید این %d رو اشتباه گذاشتین یا یه دستوره
    __________________________________________________________________________
    welcome to the club
    ۱۳۸۸ مرداد ۱۰ ۰۳:۲۸ عصر
    یافتن ارسال‌ها پاسخ با نقل قول
     تشکر شده توسط :
    Na3r آفلاین
    ناصر خلقی
    *****

    ارسال‌ها: 412
    تاریخ عضویت: ۱۳۸۷ دي ۳
    اعتبار: 11
    تشکرها : 257
    ( 576 تشکر در 308 ارسال )
    ارسال: #6
    RE: غیر فعال کردن کدهای اجرایی
    منوال sprintf رو ببین
    اونجا توضیح داده

    موفق باشی
    ۱۳۸۸ مرداد ۱۰ ۰۴:۴۹ عصر
    یافتن ارسال‌ها پاسخ با نقل قول
     تشکر شده توسط : scooter molana
    soheil.moradi آفلاین
    عضو جدید
    **

    ارسال‌ها: 1
    تاریخ عضویت: ۱۳۸۸ مهر ۲۸
    اعتبار: 0
    تشکرها : 0
    ( 5 تشکر در 1 ارسال )
    ارسال: #7
    RE: غیر فعال کردن کدهای اجرایی
    در ادامه جواب yakoza:
    در صورتی که خواستید از تابع strip_tags استفاده کنید، و نیاز به یک سری تگ ها مانند تگهای <b> یا <p> یا مثلاً <em> داشتید میتونید به اینصورت از این تابع استفاده کنید:
    کد PHP:
    strip_tags($your_text"<b><p><em>"); 
    در این حالت شما به برنامه می گویید که تمام تگها را به غیر از تگ های ذکر شده را از متن مورد نظر حذف کند.
    (آخرین ویرایش در این ارسال: ۱۳۸۸ مهر ۲۹ ۰۶:۲۶ عصر، توسط soheil.moradi.)
    ۱۳۸۸ مهر ۲۹ ۰۶:۲۴ عصر
    یافتن ارسال‌ها پاسخ با نقل قول
     تشکر شده توسط : Y.P.Y admin Eylia molana HiddeN
    abedi98 آفلاین
    PHP/MySQL
    ***

    ارسال‌ها: 195
    تاریخ عضویت: ۱۳۸۷ اسفند ۴
    اعتبار: 1
    تشکرها : 47
    ( 6 تشکر در 6 ارسال )
    ارسال: #8
    RE: غیر فعال کردن کدهای اجرایی
    سلام
    دوستان من مثلاً یک textarea دارم که روش editor هم گذاشتم مثلاً niceditor

    خوب وقتی من تو این textarea لینکی میزارم یا .... همرو غیر فعال میکنه چون از یک تابع استفاده میکنم برای جلوگیری از sql inject

    ممنون میشم اگر کسی کلاس یا تابعی که کامل باشه و فقط یک سری تگ ها رو برای sql inject یا xss بسته باشه اینجا بزاره تا استفاده کنیم
    __________________________________________________________________________
    ---------------------------------------------------------------------------
    خدایا ، مگر می شود تو باشی و ما تنها باشیم ؟
    ۱۳۸۸ بهمن ۱ ۰۲:۵۹ صبح
    یافتن ارسال‌ها پاسخ با نقل قول
     تشکر شده توسط :
    molana آفلاین
    چالیست - chalist
    *******

    ارسال‌ها: 1,770
    تاریخ عضویت: ۱۳۸۷ آذر ۳۰
    اعتبار: 60
    تشکرها : 1644
    ( 1548 تشکر در 1013 ارسال )
    ارسال: #9
    RE: غیر فعال کردن کدهای اجرایی
    (۱۳۸۸ مرداد ۲ ۰۴:۲۸ عصر)yakoza نوشته شده توسط:  اگه شما طبق FIEO عمل کنی مشکلی پیش نمیاد

    fieo منظورت "FEDERATION OF INDIAN EXPORT ORGANISATIONS" هستش دیگه Big Grin
    __________________________________________________________________________
    همه جوره اش رو داریم ظاهرن
    ۱۳۸۸ بهمن ۱ ۰۴:۴۱ صبح
    یافتن ارسال‌ها WWW پاسخ با نقل قول
     تشکر شده توسط : HiddeN
    « قدیمی تر | تازه‌ تر »

    ارسال پاسخ
    پرش به انجمن:


    کاربرانِ درحال بازدید از این موضوع: 1 مهمان
    IranPHP.org | تماس با ما | بازگشت به بالا | بازگشت به محتوا | بایگانی | پیوند سایتی RSS