Защита от XSS и SQLinj
Защита от XSS и SQLinj
Универсальная защита от XSS и SQLinj.

Установка на SoooFast и SoooFast'о подобные скрипты:
1. Закачать файл в корень сайта.

2. Открыть файл header.php и после строки:
session_start();

Вставить:
include("aktanoff_security.php");

Должно получиться:
session_start();
include("aktanoff_security.php");


Скачать: Вы не можете скачивать файлы с нашего сервера
Пароль на архив: aktanoff_security

Как отблагодарить?:
Вы можете поставить + в репутацию. И (или) перевести любую сумму на кошельки: R351326692757, Z316632949992.


Рубрика: Бесплатное » Дыры, ошибки   |   Автор: aktanoff   |   Просмотры: 6176
Комментариев: 738
Публикаций: 50
ICQ: --
- 4 +
  Автор: Green-wm   |   Группа: Пользователи   |   Дата: 07 ноября 2011  
Какой пароль?
Комментариев: 125
Публикаций: 2
ICQ: --
- 81 +
  Автор: aktanoff   |   Группа: Пользователи   |   Дата: 07 ноября 2011  
хм я выкладывал вроде с паролем
пароль
aktanoff_security

добавь еще что если не получается пусть
тут
пишут
Комментариев: 125
Публикаций: 2
ICQ: --
- 81 +
  Автор: aktanoff   |   Группа: Пользователи   |   Дата: 08 ноября 2011  
Там код наипростейший но статьи об этом небыло вот и выложил

скачиваний 6 а репа хотябы на 1 больше 35 стала
Комментариев: 78
Публикаций: 2
ICQ: 438544012
- 123 +
  Автор: finbux.info   |   Группа: Пользователи   |   Дата: 08 ноября 2011  
Ничего особенного

думаю лучше остоновить работу скрипта чем проста фильтровать
Комментариев: 125
Публикаций: 2
ICQ: --
- 81 +
  Автор: aktanoff   |   Группа: Пользователи   |   Дата: 08 ноября 2011  
ну просто некоторым людям не охото переписывать весь скрипт для того чтобы обрабатывались post get и cookie

у меня какбы это не основная защита но на одной из линий защиты стоит это дополнение
Комментариев: 9
Публикаций: 0
ICQ: --
- 24 +
  Автор: spartak-bux ©   |   Группа: Пользователи   |   Дата: 08 ноября 2011  
lol facepalm
Комментариев: 240
Публикаций: 6
ICQ: 573235722
- -896 +
  Автор: VELIK505   |   Группа: Программисты   |   Дата: 08 ноября 2011  
Это не защита. По крайней мере от sql иньекции она не спасёт.
Тебе надо почитать про безопасность сайтов. Почитай о:
mysqli_real_escape_string
htmlspecialchars
stripslashes
addslashes

И если честно не понял зачем ты пременяешь str_replace это для регулярок и замены строки на строку. А если мне нужно положить в базу логин допустим V'elik как твоя функция экранирует ' ?
А если я числа использую где у тебя к integer приводяться? на случай если это будет часть запроса а не число.

А как же золотое правило перед выводом в поток инфы пропускать её через htmlspecialchars ?

И не хочу ни тебя и не кого огрчать защиты от sql и xss не напишет никто она пишеться индивидуально под каждый скрипт и подключаеться с ядра и то только если скрипт на ООП написан!!!

А все буксы написаны процедурно можно сказать по этому придёться всё руками везде прописывать допустим:
$res =$mysqli->query("UPDATE `table`
SET `login`='". $mysqli->real_escape_string($login) ."'
WHERE `id`=". (int)$id );
То есть вот в такой запрос можно сунуть все что угодно и ничего страшного никогда не произойдет.

Ну и так руками в каждом файлеке обрабатывать каждый запрос. А если на ООП бы был то конечно передали бы и всё из файла.
Комментариев: 125
Публикаций: 2
ICQ: --
- 81 +
  Автор: aktanoff   |   Группа: Пользователи   |   Дата: 08 ноября 2011  
я же писал что это не полная защита но от части может защитить
Комментариев: 121
Публикаций: 2
ICQ: 819374
- 118 +
  Автор: Rufus   |   Группа: Программисты   |   Дата: 08 ноября 2011  
Не буду никого обижать... Ты давно програмишь? Хороший опыт?
Комментариев: 125
Публикаций: 2
ICQ: --
- 81 +
  Автор: aktanoff   |   Группа: Пользователи   |   Дата: 08 ноября 2011  
нет опыт маленький гдето 3-4 месяца только занимаюсь
Комментариев: 121
Публикаций: 2
ICQ: 819374
- 118 +
  Автор: Rufus   |   Группа: Программисты   |   Дата: 08 ноября 2011  
Понятно. Лана, я спать...
Комментариев: 78
Публикаций: 2
ICQ: 438544012
- 123 +
  Автор: finbux.info   |   Группа: Пользователи   |   Дата: 08 ноября 2011  
Цитата: Rufus
Не буду никого обижать... Ты давно програмишь? Хороший опыт?

Цитата: aktanoff
нет опыт маленький гдето 3-4 месяца только занимаюсь

Цитата: Rufus
Понятно. Лана, я спать...

lol
Комментариев: 125
Публикаций: 2
ICQ: --
- 81 +
  Автор: aktanoff   |   Группа: Пользователи   |   Дата: 08 ноября 2011  
мдее + 2 поставили а скачиваний 21
Комментариев: 77
Публикаций: 2
ICQ: 50406060
- 191 +
  Автор: Contego   |   Группа: Пользователи   |   Дата: 09 ноября 2011  
НГС выкладывал что-то подобное, правдо я не то, не это не смотрел и не собираюсь:)
Комментариев: 78
Публикаций: 2
ICQ: 438544012
- 123 +
  Автор: finbux.info   |   Группа: Пользователи   |   Дата: 09 ноября 2011  
будет на завтра хорошая защита на xss, 100% защиты для запись в базе и 100% и на выход с базы, так что если кому надо будет обращайтесь в личку или другим удобным для вас методом
Комментариев: 138
Публикаций: 2
ICQ: 567777707
- 490 +
  Автор: Forceman   |   Группа: Пользователи   |   Дата: 09 ноября 2011  
aktanoff, молодец, годится!

finbux.info, если сложно качнуть релизом, кинь в лс информацию плз.

Я использовал свое:

<?php
// Фильтрация введенной информацией пользователей HTML+PHP
// Отлично подходит под метод передачи $_POST[''];
// 2011 (c) Powered-By-Forceman.

function filter ($var)
{
$var = stipslashes($var);
$var = htmlentities($var);
$var = strip_tags($var);
return $var;
} // FOR HTML

function filter ($var)
{
$var = mysql_real_escape_string ($var);
$var = filter($var) // функция описана выше
return $var;
} // FOR MYSQL AND PHP

// Продолжение следует...
Комментариев: 125
Публикаций: 2
ICQ: --
- 81 +
  Автор: aktanoff   |   Группа: Пользователи   |   Дата: 09 ноября 2011  
спс

и за фильтры спс!
Комментариев: 78
Публикаций: 2
ICQ: 438544012
- 123 +
  Автор: finbux.info   |   Группа: Пользователи   |   Дата: 10 ноября 2011  
Forceman,


у меня на много по другому, напишу сегодня xss

фильтр работает, ни один вредный код не проникает ни в sql injection ни на выход с базы
Информация

Посетители, находящиеся в группе Гости, не могут оставлять комментарии к данной публикации.