DevProTalk

Forumi IT profesionalaca
web development, web design, e-business, SEO


Idite nazad   DevProTalk > Web development i web aplikacije > PHP
Želite da se reklamirate ekskluzivno na ovoj poziciji? Javite se

PHP PHP aplikacije, Smarty, PEAR

Odgovori
 
Alati teme Način prikaza
Staro 29. 05. 2012.   #11
etelteam
novi član
Na probnom radu
 
Datum učlanjenja: 17.05.2012
Poruke: 18
Hvala: 4
0 "Hvala" u 0 poruka
etelteam is on a distinguished road
Default

Ovako imam ponudjeno resenje od kolege ali nisam siguran dal je dobro.
Iako sam testirao AR u CI i radi, ipak bih dodao i

mysql_real_escape_string()

Kolega se dosetio i napravio svoju klasu koja nasledjuje Input klasu. I tu ce ubaciti ovu funkciju, pa ce obaviti validaciju jos u kontroleru.

Ja sam do sad znao pravilo da se validacija i zastita od SQl napada vrsi pre samog upisa u bazu (znaci u model). A kolega kaze da nece da skodi i da ce ovako biti lakse. Zanima me koliko je dobar ovaj nacin, vrsenja validacije kroz input klasu...? (kako za CI primer ali i generalno)
a to je ova klasa:

http://codeigniter.com/user_guide/libraries/input.html

Naravno imamo i ovde CI pravilo, pa je kolega uzeo Input klasu zbog toga...
Citat:
The Database classes can not be extended or replaced with your own classes. All other classes are able to be replaced/extended.
Zaboravih da dodam da bi ova klasa imala argument (tipa zelis ciscenje ili ne), tako da bi mogao da vrsis validaciju ili ne zelis, cisto da ne bude da ce uvek biti validacije, vec od slucaja do slucaja.

Poslednja izmena od etelteam : 29. 05. 2012. u 22:10.
etelteam je offline   Odgovorite uz citat
Staro 30. 05. 2012.   #12
etelteam
novi član
Na probnom radu
 
Datum učlanjenja: 17.05.2012
Poruke: 18
Hvala: 4
0 "Hvala" u 0 poruka
etelteam is on a distinguished road
Default

Evo sta se desava u Active Record Class u CI

Kôd:
/**
	 * "Smart" Escape String
	 *
	 * Escapes data based on type
	 * Sets boolean and null types
	 *
	 * @access	public
	 * @param	string
	 * @return	mixed
	 */
	function escape($str)
	{
		if (is_string($str))
		{
			$str = "'".$this->escape_str($str)."'";
		}
		elseif (is_bool($str))
		{
			$str = ($str === FALSE) ? 0 : 1;
		}
		elseif (is_null($str))
		{
			$str = 'NULL';
		}

		return $str;
	}
Kôd:
/**
	 * Escape String
	 *
	 * @access	public
	 * @param	string
	 * @param	bool	whether or not the string will be used in a LIKE condition
	 * @return	string
	 */
	function escape_str($str, $like = FALSE)
	{
		if (is_array($str))
		{
			foreach ($str as $key => $val)
			{
				$str[$key] = $this->escape_str($val, $like);
			}

			return $str;
		}

		if (function_exists('mysqli_real_escape_string') AND is_object($this->conn_id))
		{
			$str = mysqli_real_escape_string($this->conn_id, $str);
		}
		elseif (function_exists('mysql_escape_string'))
		{
			$str = mysql_escape_string($str);
		}
		else
		{
			$str = addslashes($str);
		}

		// escape LIKE condition wildcards
		if ($like === TRUE)
		{
			$str = str_replace(array('%', '_'), array('\\%', '\\_'), $str);
		}

		return $str;
	}
Meni ovo deluje sasvim solidno... Ne deluje bas nepouzdano.
etelteam je offline   Odgovorite uz citat
Staro 31. 05. 2012.   #13
ivanhoe
Ivan Dilber
Sir Write-a-Lot
 
Avatar ivanhoe
 
Datum učlanjenja: 18.10.2005
Lokacija: Bgd
Poruke: 5.320
Hvala: 104
2.344 "Hvala" u 583 poruka
ivanhoe je ime poznato svimaivanhoe je ime poznato svimaivanhoe je ime poznato svimaivanhoe je ime poznato svimaivanhoe je ime poznato svimaivanhoe je ime poznato svimaivanhoe je ime poznato svimaivanhoe je ime poznato svimaivanhoe je ime poznato svimaivanhoe je ime poznato svimaivanhoe je ime poznato svima
Pošaljite poruku preko Skype™ za ivanhoe
Default

Citat:
Originalno napisao webarto Pogledajte poruku
^ ili možeš da pregledaš source...

mysql_real_escape_string() ne escapuje backtick, tako da se može ovo uraditi, vidjao sam slučajeve, ali rijetko...

SELECT * FROM `users` WHERE `username` = `admin` AND `password` = `1` OR 1 = 1;--`
Hmm, ajd proveri ti taj primer (ako sam ga dobro razumeo), jer backticks oko vrednosti 1 nije legalna sql sintaxa (sem ako imas polje u bazi koje se zove 1).

Taj napad bi mogao da se upotrebi ako je ime baze ili polja dinamicko i uzima se spolja bez provere, ali to je vec druga prica, jer te od toga ne stiti ni prepered statement. I tamo te vrednosti moraju da budu definisane u SQL-u prilikom prepare-ovanja, tako da bi to moglo da se hakuje na isti nacin.
__________________
Leadership is the art of getting people to want to do what you know must be done.

Poslednja izmena od ivanhoe : 31. 05. 2012. u 02:32.
ivanhoe je offline   Odgovorite uz citat
Staro 31. 05. 2012.   #14
etelteam
novi član
Na probnom radu
 
Datum učlanjenja: 17.05.2012
Poruke: 18
Hvala: 4
0 "Hvala" u 0 poruka
etelteam is on a distinguished road
Default

Citat:
Originalno napisao ivanhoe Pogledajte poruku
Hmm, ajd proveri ti taj primer (ako sam ga dobro razumeo), jer backticks oko vrednosti 1 nije legalna sql sintaxa (sem ako imas polje u bazi koje se zove 1).

Taj napad bi mogao da se upotrebi ako je ime baze ili polja dinamicko i uzima se spolja bez provere, ali to je vec druga prica, jer te od toga ne stiti ni prepered statement. I tamo te vrednosti moraju da budu definisane u SQL-u prilikom prepare-ovanja, tako da bi to moglo da se hakuje na isti nacin.
Citat iz CI dokumentacije... Posto ima veze sa diskusijom iako nije direktan odgovor na gornji post.

In many databases it is advisable to protect table and field names - for example with backticks in MySQL. Active Record queries are automatically protected, however if you need to manually protect an identifier you can use:
Kôd:
$this->db->protect_identifiers('table_name');
etelteam je offline   Odgovorite uz citat
Staro 31. 05. 2012.   #15
ivanhoe
Ivan Dilber
Sir Write-a-Lot
 
Avatar ivanhoe
 
Datum učlanjenja: 18.10.2005
Lokacija: Bgd
Poruke: 5.320
Hvala: 104
2.344 "Hvala" u 583 poruka
ivanhoe je ime poznato svimaivanhoe je ime poznato svimaivanhoe je ime poznato svimaivanhoe je ime poznato svimaivanhoe je ime poznato svimaivanhoe je ime poznato svimaivanhoe je ime poznato svimaivanhoe je ime poznato svimaivanhoe je ime poznato svimaivanhoe je ime poznato svimaivanhoe je ime poznato svima
Pošaljite poruku preko Skype™ za ivanhoe
Default

mislim da se to odnosi na zastitu da slucajno ime polja nije neka rezervisana rec u SQL-u, npr. desava se da slucajno nazoves polje date ili timestamp. Ako ga stavis u backticks onda mozes da koristis kakav zelis naziv polja
__________________
Leadership is the art of getting people to want to do what you know must be done.
ivanhoe je offline   Odgovorite uz citat
Odgovori


Alati teme
Način prikaza

Pravila pisanja
Možete ne započinjati nove teme
Možete ne slati odgovore
Možete ne slati priloge
Možete ne izmeniti svoje poruke
vB kôd je Uključen
Smajliji su Uključen
[IMG] kod je Uključen
HTML kôd je Isključen
Pogledajte forum


Vreme je GMT +2. Trenutno vreme je 02:04.


Powered by vBulletin® Verzija 3.6.8
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
Copyright © DevProTalk. All Rights Reserved.
Mišljenja, saveti, izjave, ponude ili druge informacije ili sadržaji nastali na Sajtu su vlasništvo onoga ko ih je kreirao, a ne DevProTalk.com, tako da ne morate da se oslanjate na njih.
Autori poruka su jedini odgovorni za ovakve sadržaje. DevProTalk.com ne garantuje tačnost, kompletnost ili upotrebnu vrednost informacija, stavova, saveta ili datih izjava. Ne postoje uslovi pod kojima bi mi bili odgovorni za štetu ili gubitak koji je posledica bilo čijeg oslanjanja na nepouzdane informacije, ili bilo kakve informacije nastale kroz komunikaciju između registrovanih članova.
Web sajt može sadržavati linkove na druge web sajtove na Internetu ili neke druge sadržaje. Ne kontrolišemo niti podržavamo te druge web sajtove, niti smo pregledali bilo kakve sadržaje na takvim sajtovima. Mi nećemo biti odgovorni za legalnost, tačnost ili prikladnost bilo kog sadržaja, oglasa, proizvoda, usluga ili informacije lociranim na ili distribuiranih kroz druge web sajtove, niti za bilo kakvu štetu nastalu kao posledica takvih informacija. DevProTalk.com drži i čuva druga prava vlasništva na web sajtu. Web sajt sadrže materijale zaštićene copyright-om, zaštitne znakove i druge informacije o pravu vlasništva ili softver. Članovi mogu poslatu informacije zaštićene pravima vlasništva njihovih nosilaca i ona ostaju zaštićena bez obzira da li su oni koji prenose te informacije to naveli ili ne. Osim informacija koje su u javnom vlasništvu ili za koje dobijete dozvolu, nemate pravo da kopirate, modifikujete ili na bilo koji način menjate, objavljujete, prenosite, distribuirate, izvršavate, prikazujete ili prodajte bilo koju informaciju zaštićenu pravima vlasništva. Slanjem informacija ili sadržaja na bilo koji deo DevProTalk.com, Vi automatski dozvoljavate i predstavljate garanciju da imate pravo da dozvolite DevProTalk.com ili članovima DevProTalk.com bespovratnu, kontinualnu, neograničenu, globalnu dozvolu da koriste, kopiraju, izvršavaju, prikazuju i distribuiraju takve informacije i sadržaje i da iz takvih sadžaja koriste bilo koji deo u bilo koje svrhe, kao i pravo i dozvolu da koriste gore navedene sadržaje. Svi zaštitni znakovi (trademarks), logotipi, oznake usluga, firme ili imena proizvoda koji se pominju na ovom web sajtu su vlasništvo kojim raspolažu njihovi vlasnici.