Purifier
Napisane: sobota, 2 marca 2013, 01:16
Hej!
Dzisiaj w końcu ogarnąłem 11 lekcję MySQL i wróciłem do dokończenia twojej 'lektury', bo od lekcji 10 przeskoczylem na Javascritpa wtedy i miałem także przerwę.
Otóż z tego co mówisz i oczywiście jest to już też przeze mnie potwierdzone to powinniśmy używać jakichś oczyszczających funkcji przy wyjściu danych z bazy danych. Oczywiście to się tylko opłaca wtedy jesli ktoś ma dostęp do naszej bazy, czyli tym samym blokujemy mu ataki XSS.
1. Nie sądzisz może, że jest to troszkę przesadyzmem, ponieważ nawet jeśli ktoś będzie miał dostep to bazy danych to chyba lepiej byłoby wiedziec że ktoś probuje nam coś zniszczyc, dodac czy usunac niz przeciwdzaialac wtedy temu, bo mozemy nie wiedziec, że wogóle ktos ma dostep. Tak sobie właśnie 5 minut temu pomyślałem. No bo weźmy też pod uwage fakt, że jak ktoś ma dostęp do naszej bazy to i tak predzej czy pozniej nam zaszkodzi. No chyba że jesli wrzuci jaki zlosliwy kod a ten kod jest 'wyrzucany' przez nas na stronę użytwkonikom to strona nie wiem mogłaby być zgłoszona jako potencjalnie zagrożona dla użytkowników.
2. Ściągnałem 'Oczyszczacza'. Od tamtego czasu co nakręcałeś ten kurs to zmieniła się wersja na 4.5. Teraz z tego wynika, że powinienen używać tej funkcji czyszczącej tam gdzie wypiszę jakiś element z bazy danych tj. pokażę go userom. Czy się nie mylę? Z ciekawości spytam ciebie czy tego używasz, ale jak możesz to oczywiście na priv mi odpowiedz.
Muszę przyznać, że to byla bardzo wartościowa lekcja, która każdy programista winien znać 4ever.
3. Zastanawia mnie fakt, czy podczas gdy używamy .htaccesa do naszych 'ladnych' linków to czy SQL Injection zadziała? Nie chciałem się za bardzo z tym bawić i generalnie tego też nie wiem, bo na zwykłych akcjach to można naprawdę wiele zdziałać jako BLACK HAT. Sam to przetestowałem tak jak ty i szybko przełączyłem w .htaccessie na Redirect, żeby pobiegać na 2 GETach. MOżliwości są potężne.
Dzisiaj w końcu ogarnąłem 11 lekcję MySQL i wróciłem do dokończenia twojej 'lektury', bo od lekcji 10 przeskoczylem na Javascritpa wtedy i miałem także przerwę.
Otóż z tego co mówisz i oczywiście jest to już też przeze mnie potwierdzone to powinniśmy używać jakichś oczyszczających funkcji przy wyjściu danych z bazy danych. Oczywiście to się tylko opłaca wtedy jesli ktoś ma dostęp do naszej bazy, czyli tym samym blokujemy mu ataki XSS.
1. Nie sądzisz może, że jest to troszkę przesadyzmem, ponieważ nawet jeśli ktoś będzie miał dostep to bazy danych to chyba lepiej byłoby wiedziec że ktoś probuje nam coś zniszczyc, dodac czy usunac niz przeciwdzaialac wtedy temu, bo mozemy nie wiedziec, że wogóle ktos ma dostep. Tak sobie właśnie 5 minut temu pomyślałem. No bo weźmy też pod uwage fakt, że jak ktoś ma dostęp do naszej bazy to i tak predzej czy pozniej nam zaszkodzi. No chyba że jesli wrzuci jaki zlosliwy kod a ten kod jest 'wyrzucany' przez nas na stronę użytwkonikom to strona nie wiem mogłaby być zgłoszona jako potencjalnie zagrożona dla użytkowników.
2. Ściągnałem 'Oczyszczacza'. Od tamtego czasu co nakręcałeś ten kurs to zmieniła się wersja na 4.5. Teraz z tego wynika, że powinienen używać tej funkcji czyszczącej tam gdzie wypiszę jakiś element z bazy danych tj. pokażę go userom. Czy się nie mylę? Z ciekawości spytam ciebie czy tego używasz, ale jak możesz to oczywiście na priv mi odpowiedz.
Muszę przyznać, że to byla bardzo wartościowa lekcja, która każdy programista winien znać 4ever.
3. Zastanawia mnie fakt, czy podczas gdy używamy .htaccesa do naszych 'ladnych' linków to czy SQL Injection zadziała? Nie chciałem się za bardzo z tym bawić i generalnie tego też nie wiem, bo na zwykłych akcjach to można naprawdę wiele zdziałać jako BLACK HAT. Sam to przetestowałem tak jak ty i szybko przełączyłem w .htaccessie na Redirect, żeby pobiegać na 2 GETach. MOżliwości są potężne.
Lepiej się zabezpieczyć. Poza tym możesz chcieć mieć coś potencjalnie "niebezpiecznego" w bazie bo chcesz to móc wyświetlać np. kod html czy też inny.