ALP - Aquileia Linux Project

Gruppo Utenti GNU/Linux – Free Software Bassa Friulana
Oggi è 21/07/2017, 22:35

Tutti gli orari sono UTC




Apri un nuovo argomento Rispondi all’argomento  [ 15 messaggi ]  Vai alla pagina Precedente  1, 2
Autore Messaggio
 Oggetto del messaggio:
MessaggioInviato: 05/10/2007, 12:58 
Non connesso
new_entry
new_entry

Iscritto il: 27/09/2007, 15:14
Messaggi: 8
Vi segnalo un prodotto OS per il problema di SQL injection. Il concetto alla base è di catturare le richieste verso il database, MySQL e filtrare i tentativi di attacco specifici per i DBMS, principalmente le SQL injection.
Spero possa esservi d'aiuto
link: http://www.greensql.net/

JF


Top
 Profilo  
 
 Oggetto del messaggio:
MessaggioInviato: 09/10/2007, 12:52 
Non connesso
slacker
slacker
Avatar utente

Iscritto il: 07/10/2004, 12:41
Messaggi: 1296
Località: Terra - Italia - Friûl - Udine
stabi ha scritto:
quello che ti serve è una giuda alla prevenzione delle SQL INJECTION
su html.it ce nè almeno una.

anche perchè la come fermi una roba di questo tipo così?
Codice:
"1';delete from tebella_CMS where 1=1--mm@ciao.boh"


htmlentities()

_________________
Devo Proprio? pare di si :)


Top
 Profilo  
 
 Oggetto del messaggio:
MessaggioInviato: 10/10/2007, 10:30 
Non connesso
pinguino_semplice
pinguino_semplice

Iscritto il: 19/01/2007, 8:42
Messaggi: 44
si lo so , era solo per dire che non bastava validare la stringa con
la sintassi
bla_bla(chiocciola)bla(punto)qualchecosa_max_3_caratteri


Top
 Profilo  
 
 Oggetto del messaggio:
MessaggioInviato: 06/11/2007, 21:22 
Non connesso
new_entry
new_entry

Iscritto il: 18/09/2007, 16:14
Messaggi: 6
Località: /dev/null
nessuno cita mysql_real_escape_string() ? beh, eccola qui :)

Seconda cosa che non ho visto citata: controlla anche che il charset usato nel database sia lo stesso usato nelle pagine che crei tramite php (consigliato: utf-8). Altrimenti servirebbe a poco avere un php che filtra quelli che considera i "caratteri strani" se poi il db non utilizza lo stesso set di caratteri ;)


Top
 Profilo  
 
MessaggioInviato: 23/11/2007, 23:53 
Non connesso
newbie
newbie
Avatar utente

Iscritto il: 20/09/2007, 15:18
Messaggi: 21
Località: Somma Lombardo (VA)
KINGHack ha scritto:
Problema:
Qualcuno potrebbe inserire codice arbitrario nei campi per inserire qualcosa che potrebbe danneggiare e rendere instabile il server, il database stesso... come fare per rendere sicuro il form e di conseguenza mettere in sicurezza l' archivio dati e il server?


Quello che stai dicendo si traduce in SQL Injection e XSS (Cross-Site Scripting)
Per evitarlo semplicemente devi parsare tutte le variabili prima che vadano ad interagire col database.
Ad esempio, hai un form che manda il modulo in POST, quindi nel tuo registro $_POST avrai dei valori del tipo $_POST['nome'], $_POST['cognome'] ecc.
Per fare il controllo che ho menzionato basta questo semplice comando:

Codice:
$nome=trim(addslashes(strip_tags($_POST['nome'])));


strip_tags elimina i tag html e php, addslashes aggiunge gli escape ("") dove necessario e trim elimina gli spazi prima e dopo il contenuto della variabile

KINGHack ha scritto:
1) se Nome e Cognome sono ugauali solo a lettere = ok passa alla condizione successiva se no stoppati;


Codice:
if(eregi("^*[0-9@#£$]*$",$nome)){ echo "errore"; exit(); }


Se nella stringa trova un numero o uno dei caratteri citati (aggiungi quelli che vuoi) stampa errore

KINGHack ha scritto:
2) se sul campo Mail trovi la forma su detta continua con la condizione successiva se no stoppati;


Codice:
if(!eregi("^[a-z0-9][_\.a-z0-9-]+@([a-z0-9][0-9a-z-]+\.)+([a-z]{2,4})$",$email)){ echo "errore"; exit(); }


Per la regexp del sito web ti lascio sbizzarrire :)

_________________
Poiché siamo costretti tra le sbarre di una prigione la nostra non è la disdicevole fuga del disertore di fronte al nemico, ma la legittima evasione del prigioniero... (J.R.R. Tolkien)


Top
 Profilo  
 
Visualizza ultimi messaggi:  Ordina per  
Apri un nuovo argomento Rispondi all’argomento  [ 15 messaggi ]  Vai alla pagina Precedente  1, 2

Tutti gli orari sono UTC


Chi c’è in linea

Visitano il forum: Nessuno e 1 ospite


Non puoi aprire nuovi argomenti
Non puoi rispondere negli argomenti
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi inviare allegati

Cerca per:
Vai a:  
cron
Powered by phpBB® Forum Software © phpBB Group
Traduzione Italiana phpBBItalia.net basata su phpBB.it 2010
[ Time : 0.107s | 15 Queries | GZIP : Off ]