MySql

Neo · 24.10.2007, 19:17

Надежно ли отправлять данные фильтрованные только htmlspecialchars в бд или лучше вырезать все потенцопасные???

Neo добавил 24.10.2007 в 18:18
Просто создаю форум на основе phpBB 4.0 вот там есть дыры на этом и еще кое-где.

awel · 24.10.2007, 20:36

Лучше конечно вырезать все небезопасное, но еще надежнее - пропускать лишь ограниченный набор разрешенных символов, все же прочее на корню вырезать. В таком случае хуцкеру останется исключительно философски размышлять, как заставить фильтр пропустить то, что он пропускать не должен.

Proff · 25.10.2007, 17:26

Что касается php, то есть же фукнция mysql_real_escape_string... которая преобразует все значимые символы во что-то иное...

psihoz · 25.10.2007, 22:27

Ну, переписывать phpbb дело неблагодарное, помимо sql injection не стоит забывать о прочих багах, тех же слепых иньекций к примеру

Как вариант решение вопроса:
- установить последнюю версию пхпбб
- раздать права на базу правильно
- подписаться на bugtraq (ну или почитывать sec-сайты, из русских как вариант: [Ссылка заблокирована: Зарегистрируйтесь!]
, [Ссылка заблокирована: Зарегистрируйтесь!]
)
- регулярно бекапиться

и все будет в порядке

Neo · 27.10.2007, 14:39

Я знаком с ЧелоМ-фвтором phpBB он мне разрешил делать что я хочу ))) В принципе он мне помогает

BoB@H · 08.11.2007, 19:54

Предлагаю отличный редактор базы MySql.
phpMyAdmin 2.11.2
Cпециальная программа, написанной на PHP, которая предназначена для администрирования и управления MySQL-серверами через Сеть. Программа бесплатна и имеет русский интерфейс. В новой версии произведено множество улучшений и исправлений.

Neo · 09.11.2007, 13:24

Так она зачем нужна без сервака??

awel · 09.11.2007, 13:33

Хороший вопрос, зачем вообще она нужна, имхо управлять с консоли эффективнее, благо администрирование мыскуля не ахти какое сложное.

BoB@H · 09.11.2007, 15:15

Цитата:

Сообщение от Neo [Ссылка заблокирована: Зарегистрируйтесь!]

Так она зачем нужна без сервака??

Интересный у тебя вопрос. Там ведь описание дал. Я дал его для сервака. Cпециальная программа, написанной на PHP. Естественно значит нужен к нему сервак.Просто предложил, что им очень удобно все править и пользываться. Даю вроде как полезную инфу, а нетак все понимаете.

firstvirus · 24.11.2007, 08:33

еще неплохая прога MySQL-Front правда платная но кряки валяются. Она понятна даже чайнику, если тому приспичит ручками поправить базу. А насчет форумов, я просто пишу свой, кучка знакомых хацкеров проверяют на устойчивость. Так по моему гораздо приятней в поисках багов и уязвимостей. Особенно если форум будешь продавать.

Быстрый поиск

Авторизация