هك شدن صفحات php

[mashaheeer]

چه چيزهايي باعث ميشه صفحات php هك بشن؟؟

[متالیک]

1. بیشتر مواقع دریافت مقادیر از طریق فرم ها:
برای طراحی فرم ها دقت زیادی نیاز است. فرم ها باید در هنگام تحلیل به خوبی تجزیه و بررسی بشوند به طوری که نتوان با فرم کدی را ارسال کرد.


2.دریافت مقادیر از طریق url:
باید جلوی مقادیری که از طریق url ارسال می شوند را گرفت.

[mashaheeer]

برای طراحی فرم ها دقت زیادی نیاز است. فرم ها باید در هنگام تحلیل به خوبی تجزیه و بررسی بشوند به طوری که نتوان با فرم کدی را ارسال کرد.

اين مورد رو يه كم بيشتر توضيح ميديد.
يعني در صورت هك شدن مثلا چه مشكلي پيش مياد.

[متالیک]

فرض کنید یک فرم در یک صفحه ی وب وجود دارد که در آن فرم یک ‏Input‏ به نام ‏username‏ وجود ‏دارد. کاربر فرم را ارسال می کند. حالا می خواهیم چیزی که کاربر درون ‏Input‏ نوشته شده است را مطابق ‏کد زیر نمایش دهیم:‏

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

آیا ممکن است خروجی کد بالا چیزی شبیه زیر باشد؟

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

بله! و این یک اشتباه در برنامه نویسی ‏PHP‏ می باشد. با این کار ممکن است صفحه ی خود را نفوذپذیر ‏کنید. ‏

نکته و راه حل: همیشه برای دریافت مقادیر از فرم ها از تابع ‏htmlentities‏ استفاده کنید تا >‏‎ ‎و < و سایر ‏علائم ‏html‏ را از ورودی کاربر حذف کند.‏

برای مثال کد بالا به صورت زیر تبدیل می شود:‏

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

تعداد زیادی از اسکریپت های موجود در جهان دارای این عیب هستند. دقت کنید شما چنین اشتباهی را ‏مرتکب نشوید.‏

[mashaheeer]

فرق htmlentities با htmlspecialchars چيه؟؟؟

[متالیک]

فرق htmlentities با htmlspecialchars چيه؟؟؟

فرق کاربردی ندارند و مشابه هم می باشند
htmlentities کاملتر از htmlspecialchars می باشد
htmlentities همه ی کاراکترهای وِیژه رو تبدیل می کنه ولی htmlspecialchar فقط کاراکترهای زیر را:

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید