mashaheeer
21-11-2007, 15:58
چه چيزهايي باعث ميشه صفحات php هك بشن؟؟
مشاهده نسخه کامل
: هك شدن صفحات php
متالیک
21-11-2007, 17:15
1. بیشتر مواقع دریافت مقادیر از طریق فرم ها:
برای طراحی فرم ها دقت زیادی نیاز است. فرم ها باید در هنگام تحلیل به خوبی تجزیه و بررسی بشوند به طوری که نتوان با فرم کدی را ارسال کرد.
2.دریافت مقادیر از طریق url:
باید جلوی مقادیری که از طریق url ارسال می شوند را گرفت.
برای طراحی فرم ها دقت زیادی نیاز است. فرم ها باید در هنگام تحلیل به خوبی تجزیه و بررسی بشوند به طوری که نتوان با فرم کدی را ارسال کرد.
2.دریافت مقادیر از طریق url:
باید جلوی مقادیری که از طریق url ارسال می شوند را گرفت.
mashaheeer
21-11-2007, 19:31
برای طراحی فرم ها دقت زیادی نیاز است. فرم ها باید در هنگام تحلیل به خوبی تجزیه و بررسی بشوند به طوری که نتوان با فرم کدی را ارسال کرد.
اين مورد رو يه كم بيشتر توضيح ميديد.
يعني در صورت هك شدن مثلا چه مشكلي پيش مياد.
اين مورد رو يه كم بيشتر توضيح ميديد.
يعني در صورت هك شدن مثلا چه مشكلي پيش مياد.
متالیک
22-11-2007, 08:16
فرض کنید یک فرم در یک صفحه ی وب وجود دارد که در آن فرم یک Input به نام username وجود دارد. کاربر فرم را ارسال می کند. حالا می خواهیم چیزی که کاربر درون Input نوشته شده است را مطابق کد زیر نمایش دهیم:
برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید
آیا ممکن است خروجی کد بالا چیزی شبیه زیر باشد؟
برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید
بله! و این یک اشتباه در برنامه نویسی PHP می باشد. با این کار ممکن است صفحه ی خود را نفوذپذیر کنید.
نکته و راه حل: همیشه برای دریافت مقادیر از فرم ها از تابع htmlentities استفاده کنید تا > و < و سایر علائم html را از ورودی کاربر حذف کند.
برای مثال کد بالا به صورت زیر تبدیل می شود:
برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید
تعداد زیادی از اسکریپت های موجود در جهان دارای این عیب هستند. دقت کنید شما چنین اشتباهی را مرتکب نشوید.
برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید
آیا ممکن است خروجی کد بالا چیزی شبیه زیر باشد؟
برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید
بله! و این یک اشتباه در برنامه نویسی PHP می باشد. با این کار ممکن است صفحه ی خود را نفوذپذیر کنید.
نکته و راه حل: همیشه برای دریافت مقادیر از فرم ها از تابع htmlentities استفاده کنید تا > و < و سایر علائم html را از ورودی کاربر حذف کند.
برای مثال کد بالا به صورت زیر تبدیل می شود:
برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید
تعداد زیادی از اسکریپت های موجود در جهان دارای این عیب هستند. دقت کنید شما چنین اشتباهی را مرتکب نشوید.
mashaheeer
22-11-2007, 12:55
فرق htmlentities با htmlspecialchars چيه؟؟؟
متالیک
22-11-2007, 14:04
فرق htmlentities با htmlspecialchars چيه؟؟؟
فرق کاربردی ندارند و مشابه هم می باشند
htmlentities کاملتر از htmlspecialchars می باشد
htmlentities همه ی کاراکترهای وِیژه رو تبدیل می کنه ولی htmlspecialchar فقط کاراکترهای زیر را:
برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید
فرق کاربردی ندارند و مشابه هم می باشند
htmlentities کاملتر از htmlspecialchars می باشد
htmlentities همه ی کاراکترهای وِیژه رو تبدیل می کنه ولی htmlspecialchar فقط کاراکترهای زیر را:
برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید
vBulletin , Copyright ©2000-2025, Jelsoft Enterprises Ltd.