مستندات پرتال نیوک لرن
چطور ورودی های کاربر را فیلتر کنیم تا امنیت بالا برود؟

بازدیدها
از Nukelearn Portal Encyclopedia
پرش به: ناوبری, جستجو

در پرتال نیوک لرن برای بالا بردن امنیت سایت از توابعی دستی  استفاده شده است که شما با استفاده از آن ها می توانید اطلاعات خود را امن کنید


یکی از مهمترین  و موثرترین روش های هک یک سایت استفاده از روش تزریق به بانک اطلاعاتی است . که برای نمونه :


فرض کنید شما فرم ورود اطلاعات برای کاربر گذاشتید که می تواند اطلاعات خود را وارد کنید


در ورودی اول که نام  $name دارد این ورودی بعد از کلیک بر روی دکمه تایید به برنامه ارسال می شود تا در بانک اطلاعاتی چک شود


$name = "timmy";
$query = "SELECT * FROM customers WHERE username = '$name'";

حال اگر هکر بخواهد به سایت شما حمله کند به جای ورود کلمه timmy   می تواند بنویسید :  OR 1

حالا اگر OR 1 را در دستور  دیتابیس بالا بگذارید می شود


$query = "SELECT * FROM customers WHERE username = ' OR 1'";

سایت شما به همین راحتی هک می شود و هکر می تواند وارد اطلاعات شما شود .


حال شما باید قبل از استفاده از متغیر $name در دستور دیتابیس باید آن را فیلتر کنید


که در پرتال نیوک لرن به این روش است :


$name =  sql_quote($name);


شما با استفاده از تابع sql_quote می توانید با خیال راحت از متغیرها در دستورات دیتابیس استفاده کنید

برگرفته از «http://wiki.nukelearn.com/index.php/%DA%86%D8%B7%D9%88%D8%B1_%D9%88%D8%B1%D9%88%D8%AF%DB%8C_%D9%87%D8%A7%DB%8C_%DA%A9%D8%A7%D8%B1%D8%A8%D8%B1_%D8%B1%D8%A7_%D9%81%DB%8C%D9%84%D8%AA%D8%B1_%DA%A9%D9%86%DB%8C%D9%85_%D8%AA%D8%A7_%D8%A7%D9%85%D9%86%DB%8C%D8%AA_%D8%A8%D8%A7%D9%84%D8%A7_%D8%A8%D8%B1%D9%88%D8%AF%D8%9F»
گشتن
جعبه‌ابزار
ابزارهای شخصی