хостинг който защитава от sql inhection -има ли такова чудо?!

naskobg

Well-Known Member
има ли такъв хостинг който да предлага такава услуга ?ако сайта ви не е защитен от sql injection хостинга да филтрира такъв вид заявки?
 
От: хостинг който защитава от sql inhection -има ли такова чудо?!

не вярвам да е възможно с цПанел базиран хостинг
 
От: хостинг който защитава от sql inhection -има ли такова чудо?!

Направи си една функция, която да филтрира POST & GET заявките и после примерно само пишеш: $promenliva = protect($_POST['promenliva']); и си готов.

Поздрави.
 
От: хостинг който защитава от sql inhection -има ли такова чудо?!

ясно обаче ако имаш система с 600-800 файла то това значи че всички файлове трябва да се пипат..

Направи си една функция, която да филтрира POST & GET заявките и после примерно само пишеш: $promenliva = protect($_POST['promenliva']); и си готов.

Поздрави.
 
От: хостинг който защитава от sql inhection -има ли такова чудо?!

Това филтриране трябва да се направи още в началото, когато се прави системата/приложението.
 
От: хостинг който защитава от sql inhection -има ли такова чудо?!

Хостинга няма връзка с това.
 
От: хостинг който защитава от sql inhection -има ли такова чудо?!

PHP:
function secure($this, $tags){
    if($tags == ""){
        $that = stripslashes(html_entity_decode(strip_tags($this)));
    }else{
        $that = stripslashes(html_entity_decode(strip_tags($this, "$tags")));
    }
    $that = addslashes(htmlspecialchars($that));
    return($that);
}

$promenliva1 = secure($_GET['promenliva'], "");

$promenliva2 = secure($_POST['promenliva'], "");

$promenliva3 = secure($_COOKIE['promenliva'], "");

$promenliva4 = secure($_SESSION['promenliva'], "");

Реално какво прави функцията. Проверява и премахва всички тагове или само тези които искате да съществуват в поста, гета кукита и тн., реално може да се подсигури още самата функция, но не ми е останало време да си я ъпдейтвам а и не съм срещал проблем до момента с тази версия. :)

Как да я ползвате, ако желаете:

Ако искам да оставя определени тагове и да махната всички други:

PHP:
$promenliva1 = secure($_GET['promenliva'], "<p><div><a>");

Ако искате да махнете всички просто в втората променлива не поставяйте нищо в кавичките.

Дано съм бил полезен :beer:
 
От: хостинг който защитава от sql inhection -има ли такова чудо?!

SQLi е атака специфична за конкретен PHP код. Трудно могат да се обхванат всички варианти само с firewall или mod_security примерно. Малка част от тях да, но ако се съмняваш за даден скрипт, който си сканирал примерно с Acuinetix обърни внимание на скрипта, вместо да търсиш server side решение.
 
От: хостинг който защитава от sql inhection -има ли такова чудо?!

благодаря на всички.само да попитам/.а има ли начин да се добави автоматично или всеки файл на ръка?
 
От: хостинг който защитава от sql inhection -има ли такова чудо?!

благодаря на всички.само да попитам/.а има ли начин да се добави автоматично или всеки файл на ръка?

Кое по-точно?
 
От: хостинг който защитава от sql inhection -има ли такова чудо?!

По-добре се съсредоточи върху конкретния случай/сайт, дето трябва да се обезопаси.
Универсални и общи решения по принцип няма. Сайтът ти може да бъде потрошен дори да няма база.

Ако ползваш популярен ЦМС, а не някакви 'писани системи', си доста по-подсигурен примерно.
Но това само общо казано. Примерно ако самият Уордпрес е сигурен, много от темите и плъгините за него не са. Всичко, което добавя възможност за user input, и не е част от core пакета, трябва да е под съмнение. Предполагам за Джумла и прочие е подобно положението.
 
От: хостинг който защитава от sql inhection -има ли такова чудо?!

сайта е venid manage ment dot com и в момента е ограничен да се вижда само от БГ поради тази причина че някой се опитва да го хаква чрез прокси.
както пишеш че може и без база да се потроши то тогава е кофти..наистина.

По-добре се съсредоточи върху конкретния случай/сайт, дето трябва да се обезопаси.
Универсални и общи решения по принцип няма. Сайтът ти може да бъде потрошен дори да няма база.

Ако ползваш популярен ЦМС, а не някакви 'писани системи', си доста по-подсигурен примерно.
Но това само общо казано. Примерно ако самият Уордпрес е сигурен, много от темите и плъгините за него не са. Всичко, което добавя възможност за user input, и не е част от core пакета, трябва да е под съмнение. Предполагам за Джумла и прочие е подобно положението.
 
Последно редактирано:
От: хостинг който защитава от sql inhection -има ли такова чудо?!

По-добре се съсредоточи върху конкретния случай/сайт, дето трябва да се обезопаси.
Универсални и общи решения по принцип няма. Сайтът ти може да бъде потрошен дори да няма база.

Ако ползваш популярен ЦМС, а не някакви 'писани системи', си доста по-подсигурен примерно.
Но това само общо казано. Примерно ако самият Уордпрес е сигурен, много от темите и плъгините за него не са. Всичко, което добавя възможност за user input, и не е част от core пакета, трябва да е под съмнение. Предполагам за Джумла и прочие е подобно положението.

Напротив! Ако ползваш някакъв популярен ЦМС, като JOOMLA със 2 добавени модула, то има по-големи възможности да те хакнат, понеже хакерите си имат достатъчно "exploits" и priv8 и не само. Както и да е.

Исках да ти кажа, че съм запознат със по-известните хакерски атаки и мога да ти помогна да защитиш сайта си много добре. Ако си навит, моля пиши на ЛС.
 
От: хостинг който защитава от sql inhection -има ли такова чудо?!

По-добре се съсредоточи върху конкретния случай/сайт, дето трябва да се обезопаси.
Универсални и общи решения по принцип няма. Сайтът ти може да бъде потрошен дори да няма база.

Ако ползваш популярен ЦМС, а не някакви 'писани системи', си доста по-подсигурен примерно.
Но това само общо казано. Примерно ако самият Уордпрес е сигурен, много от темите и плъгините за него не са. Всичко, което добавя възможност за user input, и не е част от core пакета, трябва да е под съмнение. Предполагам за Джумла и прочие е подобно положението.

Братле що си мислиш, че една готова система е по-защитена от една правена за определен сайт? :)
 
От: хостинг който защитава от sql inhection -има ли такова чудо?!

ММ сетих се за доста по примитивен и лесен начин за филтриране.

Това най-отгоре на index.php и всички $_GET където минават през него ще минават през тези функции, може да се добавят още както и $_POST

PHP:
$_GET = array_map("htmlspecialchars", $_GET);
$_GET = array_map("addslashes", $_GET);
 
От: хостинг който защитава от sql inhection -има ли такова чудо?!

Братле що си мислиш, че една готова система е по-защитена от една правена за определен сайт? :)
Щото е правена от умни глави, и е инспектвана, обсъждана, даван й е фийдбек от хиляди и милиони други умни и не толкова умни глави. Ъпдейтва се редовно.

Системите правени за определен сайт доста често са писани от пръдльовци.
Ако става дума за български сайт, това ще да прави 93+% от случаите.
 
От: хостинг който защитава от sql inhection -има ли такова чудо?!

Щото е правена от умни глави, и е инспектвана, обсъждана, даван й е фийдбек от хиляди и милиони други умни и не толкова умни глави. Ъпдейтва се редовно.

Системите правени за определен сайт доста често са писани от пръдльовци.
Ако става дума за български сайт, това ще да прави 93+% от случаите.

Съгласен съм че големите ЦМСи са правени от умни хора. Дотук добре, но изведнъж изникват тези "пръдльовци", който правят модули и плъгини за тези ЦМСи.
Ето от тук идват проблемите.

Но няма смисъл да обсъждаме повече това, понеже системата naskobg не е ЦМС. И освен SQLi има и още нещо, но това на лично.
 

Горе