לוגו אתר Fresh          
 
 
  אפשרות תפריט  ראשי     אפשרות תפריט  צ'אט     אפשרות תפריט  מבזקים     אפשרות תפריט  צור קשר     חץ שמאלה ‎print ‎"Hello World!"; if‎ ‎not rules.‎know ‎then rules.‎read(); חץ ימינה  

לך אחורה   לובי הפורומים > מחשבים > תכנות ובניית אתרים
רענן עמוד זה [שאלה]בדיקת כל הנתונים הנשלחים לDB לשם אבטחה
שמור לעצמך קישור לדף זה באתרי שמירת קישורים חברתיים
תגובה
« לאשכול הקודם | לאשכול הבא »
 
כלי אשכול חפש באשכול זה



  #1  
ישן 24-11-2007, 23:14
  X_Server X_Server אינו מחובר  
 
חבר מתאריך: 18.12.04
הודעות: 148
[שאלה]בדיקת כל הנתונים הנשלחים לDB לשם אבטחה
האם ישנה דרך יעילה לבדוק את כל הנתונים הנשלחים לDB [לצורכי הבטחת האתר, חסימת תווים לא חוקים וכו']?

הדרך היחידה שחשבתי עליה היא ידנית בכל דף ASP שבו נשלח תופס להוסיף פקודת בדיקה. דרך זו מסורבלת נורא.

דרך אחרת שחשבתי לשם חסיכת זמן היא כתיבת פונקציה אשר אני אקרא לה בכל הדפים אם כי גם פה כל דף אני אצטרך לערוך ובנוסף כתיבת פונקציה כזו היא מסובכת שכן ישנם הרבה שמות משתנים שונים[UserName Password ובכל דף באתר משתנים אחרים].

מחכה לפיתרון, תודה רבה חבר'ה.
תגובה ללא ציטוט תגובה עם ציטוט חזרה לפורום
  #2  
ישן 25-11-2007, 01:11
  Dark Knight Dark Knight אינו מחובר  
 
חבר מתאריך: 30.07.05
הודעות: 949
שלח הודעה דרך ICQ אל Dark Knight
בתגובה להודעה מספר 1 שנכתבה על ידי X_Server שמתחילה ב "[שאלה]בדיקת כל הנתונים הנשלחים לDB לשם אבטחה"
אני לא יודע ASP ספציפית, אבל רב הסיכויים: תאלץ לבנות פונק' כזו.
בקשר לאבטחה, אז פשוט תוודא שאין תווי גרש ( ' ) גורשיים ( " ) או תווים שיכולים להתחיל תג HTML (< >).
את כל זה אפשר לעשות בקלות יחסית עם פונק' REPLACE למשהו ריק, לדוגמא.
_____________________________________
חתימתכם הוסרה כיוון שלא עמדה בחוקי האתר. לפרטים נוספים לחצו כאן. תוכלו לקבל עזרה להתאמת החתימה לחוקים בפורום חתימות וצלמיות.

תגובה ללא ציטוט תגובה עם ציטוט חזרה לפורום
  #3  
ישן 25-11-2007, 01:17
  X_Server X_Server אינו מחובר  
 
חבר מתאריך: 18.12.04
הודעות: 148
בתגובה להודעה מספר 2 שנכתבה על ידי Dark Knight שמתחילה ב "אני לא יודע ASP ספציפית, אבל..."
כן, אני מודע לפונקציה REPLACE אך כמו שציינתי אם אני אשתמש בה אני אצטרך לעשות כל דף ודף באתר שלי ובכל מקום בו נשלחים נתונים וקיימת תיבת טקסט אצטרך לבצע פעולה זו. מסורבל נורא! ושוב לשאלתי: האין דרך פשוטה יותר?

תודה על תשובתך !
תגובה ללא ציטוט תגובה עם ציטוט חזרה לפורום
  #4  
ישן 25-11-2007, 12:17
  רמי ד רמי ד אינו מחובר  
 
חבר מתאריך: 07.10.06
הודעות: 1,795
בתגובה להודעה מספר 3 שנכתבה על ידי X_Server שמתחילה ב "כן, אני מודע לפונקציה REPLACE..."
כן. פשוטה מאוד. תיבנה דף ASP עם פונקציה וכל ה-REPLACE-ים ביפנים. תעשה INCLUDE לדף הזה,
ולכל משתנה POST תיקרא לפונקציה עם המישתנה, והיא תסנן את אותו. ואז זה שורה לכל משתנה.
תגובה ללא ציטוט תגובה עם ציטוט חזרה לפורום
  #5  
ישן 27-11-2007, 07:16
  X_Server X_Server אינו מחובר  
 
חבר מתאריך: 18.12.04
הודעות: 148
בתגובה להודעה מספר 4 שנכתבה על ידי רמי ד שמתחילה ב "כן. פשוטה מאוד. תיבנה דף ASP..."
דבר זה צורך שאני אעבוד על כל דף באתר שלי[!] ואוסיף על כל משתנה[!] את הפונקציה.
אך אני רואה שזו היא כניראה האופציה היחידה שלי. כך שתודה רבה לך.

איזה REPLACE-ים אני צריך לשים מלבד גרש['] ? [או במילים אחרות - כיצד ניתן עוד לפרוץ לאתר?]
והאם יש צורך בסינון SELECT ופקודות SQL אחרות? [למשל אם אני מקבל משתנה מסוג מס' ואז לא צריך גרשיים ומספיק להוסיף Number=3 UNION SELECT...]

ושאלה נוספת, אם זה כזה פשוט איך ישנם כל-כך הרבה אתרים ברמה יחסית גדולה שלא מסננים מילים כאילו?

רמי, תודה רבה !
תגובה ללא ציטוט תגובה עם ציטוט חזרה לפורום
  #6  
ישן 27-11-2007, 12:00
  DCD DCD אינו מחובר  
 
חבר מתאריך: 17.05.05
הודעות: 7,321
בתגובה להודעה מספר 5 שנכתבה על ידי X_Server שמתחילה ב "דבר זה צורך שאני אעבוד על כל..."
תבריח (עם בקסלאש - \) את כל התווים הבאים(מופרדים בפסיק):
קוד:
', ", \, \0

0\ - מסמן NULL

ותחליף את כל התגים הבאים ב-HTML Entity שלהם:
קוד:
'&' (ampersand) - '&amp;' 
'"' (double quote) - '&quot;' 
''' (single quote) - ''' 
'<' (less than) - '&lt;' 
'>' (greater than) - '&gt;'

על מנת שמשתמשים לא יוכלו לערוך את דפי המערכת שלך.

דבר נוסף - בשביל שלא תצטרך להריץ מחדש על כל משתנה את הפונקציה שמאבטחת אותו, תיצור בתחילת כל עמוד פונקציה שמאבטחת את כל המידע הנכנס אל המערכת - ומהפונקציה הזו תשלוף את המידע הדרוש.
הכי עדיף זה לבצע include לפונקציה הזו שתהיה בעמוד מסויים (כמו עמוד של כל הפונקציות של המערכת שלך)...
תגובה ללא ציטוט תגובה עם ציטוט חזרה לפורום
  #7  
ישן 27-11-2007, 13:02
  רמי ד רמי ד אינו מחובר  
 
חבר מתאריך: 07.10.06
הודעות: 1,795
בתגובה להודעה מספר 5 שנכתבה על ידי X_Server שמתחילה ב "דבר זה צורך שאני אעבוד על כל..."
יש עוד דברים שאפשר להזריק ש-DCD לא אמר.
ביגלל שזה ארוך, אז הינה פונקציה שבניתי בעבר:

https://2007-uploaded.fresh.co.il/2...27/61899339.rar

אם זה מספק אותך (גם את זה די קשה לעקוף) אבל אם אתה רוצה להיות בתוח ב-100 אחוז, ולהיות מעודכן ביפני הזרקות XML וכו, אז כדאי לך להציץ בקוד פילטרים של web wiz.
נערך לאחרונה ע"י רמי ד בתאריך 27-11-2007 בשעה 13:03. סיבה: תיקון הקובץ המצורף
תגובה ללא ציטוט תגובה עם ציטוט חזרה לפורום
  #8  
ישן 28-11-2007, 16:26
  X_Server X_Server אינו מחובר  
 
חבר מתאריך: 18.12.04
הודעות: 148
בתגובה להודעה מספר 1 שנכתבה על ידי X_Server שמתחילה ב "[שאלה]בדיקת כל הנתונים הנשלחים לDB לשם אבטחה"
הו ! איזה פילטר מעניין ! DCD ורמי תודה רבה לשניכם !
תגובה ללא ציטוט תגובה עם ציטוט חזרה לפורום
תגובה
« לאשכול הקודם | לאשכול הבא »

כלי אשכול חפש באשכול זה
חפש באשכול זה:

חיפוש מתקדם
מצבי תצוגה דרג אשכול זה
מצב כלאיים מצב כלאיים
דרג אשכול זה:

מזער את תיבת המידע אפשרויות משלוח הודעות
אתה לא יכול לפתוח אשכולות חדשים
אתה לא יכול להגיב לאשכולות
אתה לא יכול לצרף קבצים
אתה לא יכול לערוך את ההודעות שלך
קוד vB פעיל
קוד [IMG] פעיל
קוד HTML כבוי
מעבר לפורום



כל הזמנים המוצגים בדף זה הם לפי איזור זמן GMT +2. השעה כעת היא 21:04

הדף נוצר ב 0.05 שניות עם 11 שאילתות
צור קשר - Fresh - למעלה

הפורום מבוסס על vBulletin, גירסא 3.0.6
כל הזכויות לתוכנת הפורומים שמורות © 2024 - 2000 לחברת Jelsoft Enterprises.
כל הזכויות שמורות ל Fresh.co.il ©

צור קשר | תקנון האתר