/
  • چک کردن ورودی ها جهت جلوگیری از حملات رایج

  • ارسال پاسخ   امتیاز موضوع:
    • 0 رأی - میانگین امیتازات: 0
    • 1
    • 2
    • 3
    • 4
    • 5

    حالت موضوعی | حالت خطی چک کردن ورودی ها جهت جلوگیری از حملات رایج
    نویسنده پیام
    ImanAzadi آفلاین
    عضو
    ***

    ارسال‌ها: 246
    تاریخ عضویت: ۱۳۹۲ اسفند ۲
    اعتبار: 0
    تشکرها : 36
    ( 9 تشکر در 9 ارسال )
    ارسال: #1
    چک کردن ورودی ها جهت جلوگیری از حملات رایج
    باسلام
    دوستان من یک صفحه دارم که قبل از ارسال به سرور اطلاعات فیلدها رو جمع آوری و کلا به صورت یک متغییر json در میاورم و با Ajax اونو به سرور پاس میدم و در سرور توسط Json_decode() به آرایه تبدیل میکنم و بعد در دیتابیس ذخیره میکنم
    میخواستم ببینم با این روشی که گفتم نیازی هست ورودی ها از نظر حملات Sql injection یا XSS یا csrf چک بشن یا نه ؟
    این نکته هم بگم برای ذخیره در دیتابیس از pdo و prepare استفاده میکنم
    اصلا چه زمانی باید ورودی ها از نظر حملات فوق چک بشن

    ممنون میشم دوستان عزیز
    (آخرین ویرایش در این ارسال: ۱۳۹۴ بهمن ۱۵ ۰۶:۰۴ عصر، توسط ImanAzadi.)
    ۱۳۹۴ بهمن ۱۵ ۰۶:۰۰ عصر
    یافتن ارسال‌ها پاسخ با نقل قول
     تشکر شده توسط :
    mr.mostafa.shiraali آفلاین
    عضو جدید
    **

    ارسال‌ها: 5
    تاریخ عضویت: ۱۳۹۳ دي ۱۲
    اعتبار: 0
    تشکرها : 1
    ( 5 تشکر در 4 ارسال )
    ارسال: #2
    RE: چک کردن ورودی ها جهت جلوگیری از حملات رایج
    هر زمان میخواهی داده ای را در عمل پرس و جو دیتابیس (اضافه - حذف - بروزرسانی - واکشی) استفاده نمایید ابتدا از با استفاده از توایع موجود php ویا ساخت خود از نظر صحت برررسی نمایید
    ۱۳۹۴ بهمن ۱۶ ۱۲:۴۵ صبح
    یافتن ارسال‌ها پاسخ با نقل قول
     تشکر شده توسط : kasbookar ayoubsys
    ImanAzadi آفلاین
    عضو
    ***

    ارسال‌ها: 246
    تاریخ عضویت: ۱۳۹۲ اسفند ۲
    اعتبار: 0
    تشکرها : 36
    ( 9 تشکر در 9 ارسال )
    ارسال: #3
    RE: چک کردن ورودی ها جهت جلوگیری از حملات رایج
    یه ایراد وجود دارد
    وقتی ما یه متغیر json رو به سرور ارسال میکنیم فرمتی شبیه زیر داره

    کد:
    json={'name':'ali','family':'ahmadi','email':'a.ahmadi@yahoo.com'}


    وقتی سمت سرور توسط کد زیر عمل میکنیم

    کد:
    htmlentities($json,ENT_QUOTES);

    کلا فرمت بهم میریزه


    کد:
    {"name":"ali","family":"ahmadi","email":"a.ahmadi@yahoo.com"}
    (آخرین ویرایش در این ارسال: ۱۳۹۴ بهمن ۱۹ ۰۵:۰۷ عصر، توسط ImanAzadi.)
    ۱۳۹۴ بهمن ۱۹ ۰۴:۲۴ عصر
    یافتن ارسال‌ها پاسخ با نقل قول
     تشکر شده توسط :
    ayoubsys آفلاین
    عضو
    ***

    ارسال‌ها: 118
    تاریخ عضویت: ۱۳۹۴ آذر ۱۵
    اعتبار: 9
    تشکرها : 885
    ( 79 تشکر در 57 ارسال )
    ارسال: #4
    RE: چک کردن ورودی ها جهت جلوگیری از حملات رایج
    سلام و وقت بخیر

    در چنین موقعی میشه از تابع html_entity_decode کمک گرفت:

    کد PHP:
    echo html_entity_decode("{"name":"ali","family":"ahmadi","email":"a.ahmadi@yahoo.com"}"); 

    شما با استفاده از htmlentities مقادیر رو در دیتابیس ذخیره کنین و موقع واکشی و استفاده از html_entity_decode کمک بگیرین و سپس از دستورات json ( و جداکردن مقادیر آن برای استفاده) استفاده کنین:

    مثال :
    کد PHP:
    $iman html_entity_decode($row['userinfo']);
    $iman json_decode($iman);
    echo 
    $iman->{"name"};
    echo 
    $iman->{"family"};
    echo 
    $iman->{"email"}; 

    موفق باشید
    ۱۳۹۴ بهمن ۱۹ ۰۵:۴۴ عصر
    یافتن ارسال‌ها پاسخ با نقل قول
     تشکر شده توسط :
    « قدیمی تر | تازه‌ تر »

    ارسال پاسخ
    پرش به انجمن:


    کاربرانِ درحال بازدید از این موضوع: 1 مهمان
    IranPHP.org | تماس با ما | بازگشت به بالا | بازگشت به محتوا | بایگانی | پیوند سایتی RSS