3
תגובות

שאלה בקשר ל htmlspecialchars ואבטחת אתר

פתח hexdec ,
היי.
כשאני מכניס שאילתות ל SQL אני משתמש ב mysql_real_escape_string.. זה מספיק? או שאצטרך להשתמש גם ב htmlspecialchars?
ובקשר לאבטחת האתר, יש עוד דברים שאצטרך לעשות נגד פריצות? או רק הגנת SQLI/XSS?

תודה :).

3 תשובות

avatar ענה משתמש_106771 ב 09 לפברואר 2012 #

יש הרבה פרצות אבטחה;
תצטרך להכיר אותם כדי להגן מהם.
בעבודה מול מסד escape_string מספיק.
htmlspecialchars זה *רק* שאתה מדפיס משהו ללקוח (echo, print..)
יש גם פרצות באינקלוד קבצים, RFI/LFI.
יש גם פרצות בהעלאת קבצים (העלאת שאלל למינהם וכו')
אני אזכר בעוד ואערוך.

avatar ענה hexdec ב 09 לפברואר 2012 #

אין לי צורך בהגנה נגד העלאת קבצים, מכוון שזה לא אתר שיש בו העלאת קצבים.
אשמח אם תסביר לי יותר על RFI/LFI.

avatar ענה intval ב 09 לפברואר 2012 #

באופן כללי זה כשאתה עושה

include $_GET['module'].'.php';

ככה לא צריך לעשות, הסיבה ברורה לך.