Purifier

Forum przeznaczone dla MySql - bazy danych.

Purifier

Postprzez tajger » sobota, 2 marca 2013, 01:16

Hej!
Dzisiaj w końcu ogarnąłem 11 lekcję MySQL i wróciłem do dokończenia twojej 'lektury', bo od lekcji 10 przeskoczylem na Javascritpa wtedy i miałem także przerwę.
Otóż z tego co mówisz i oczywiście jest to już też przeze mnie potwierdzone to powinniśmy używać jakichś oczyszczających funkcji przy wyjściu danych z bazy danych. Oczywiście to się tylko opłaca wtedy jesli ktoś ma dostęp do naszej bazy, czyli tym samym blokujemy mu ataki XSS.

1. Nie sądzisz może, że jest to troszkę przesadyzmem, ponieważ nawet jeśli ktoś będzie miał dostep to bazy danych to chyba lepiej byłoby wiedziec że ktoś probuje nam coś zniszczyc, dodac czy usunac niz przeciwdzaialac wtedy temu, bo mozemy nie wiedziec, że wogóle ktos ma dostep. Tak sobie właśnie 5 minut temu pomyślałem. No bo weźmy też pod uwage fakt, że jak ktoś ma dostęp do naszej bazy to i tak predzej czy pozniej nam zaszkodzi. No chyba że jesli wrzuci jaki zlosliwy kod a ten kod jest 'wyrzucany' przez nas na stronę użytwkonikom to strona nie wiem mogłaby być zgłoszona jako potencjalnie zagrożona dla użytkowników.

2. Ściągnałem 'Oczyszczacza'. Od tamtego czasu co nakręcałeś ten kurs to zmieniła się wersja na 4.5. Teraz z tego wynika, że powinienen używać tej funkcji czyszczącej tam gdzie wypiszę jakiś element z bazy danych tj. pokażę go userom. Czy się nie mylę? Z ciekawości spytam ciebie czy tego używasz, ale jak możesz to oczywiście na priv mi odpowiedz.

Muszę przyznać, że to byla bardzo wartościowa lekcja, która każdy programista winien znać 4ever.
3. Zastanawia mnie fakt, czy podczas gdy używamy .htaccesa do naszych 'ladnych' linków to czy SQL Injection zadziała? Nie chciałem się za bardzo z tym bawić i generalnie tego też nie wiem, bo na zwykłych akcjach to można naprawdę wiele zdziałać jako BLACK HAT. Sam to przetestowałem tak jak ty i szybko przełączyłem w .htaccessie na Redirect, żeby pobiegać na 2 GETach. MOżliwości są potężne.
Zawsze walcz do końca i nigdy się nie poddawaj!
tajger
Zaawansowany
Zaawansowany
 
Posty: 223
Dołączył(a): niedziela, 11 marca 2012, 03:08
Lokalizacja: Poland

Re: Purifier

Postprzez Morfidon » sobota, 2 marca 2013, 11:17

Hej :)

1. Nie musisz mieć w sumie dostępu do bazy danych, aby umieścić tam coś złego. Wystarczy, że zapomnisz coś lub też nieumiejętnie coś pozwolisz tam wprowadzić ;) Lepiej się zabezpieczyć. Poza tym możesz chcieć mieć coś potencjalnie "niebezpiecznego" w bazie bo chcesz to móc wyświetlać np. kod html czy też inny.
2. Nie sprawdzałem nowej wersji, ciężko mi powiedzieć. Zobaczę w wolnej chwili.
3. Według mnie zadziała, chociaż tego nie testowałem. GET i POST i tak jest przesyłane. Ty tylko zmieniasz wygląd tego co widzisz.

Pozdrawiam
Morfidon
Administrator
Administrator
 
Posty: 1324
Dołączył(a): wtorek, 5 sierpnia 2008, 21:48

Re: Purifier

Postprzez tajger » sobota, 2 marca 2013, 18:00

No to zaczynamy czyścić wszystko co wyjdzie z bazy, delikatnie mówiąc troszkę wydajność spadnie ale chyba będzie OK. Bo przy TONACH danych nie wiem czy byłoby to ogarnięte.
Zawsze walcz do końca i nigdy się nie poddawaj!
tajger
Zaawansowany
Zaawansowany
 
Posty: 223
Dołączył(a): niedziela, 11 marca 2012, 03:08
Lokalizacja: Poland


Powrót do MySql

Kto przegląda forum

Użytkownicy przeglądający ten dział: Brak zidentyfikowanych użytkowników i 1 gość

cron