login drošība

Vecteevs · April 26, 2010

jautājums, vai šis variants ir drošs?

$username=trim(mysql_real_escape_string($_POST["username"]));

vai ir vēl kāds labāks paņēmiens?

waplet · April 26, 2010

trim'o pie izvades... un labāk pirms mysql real escape sring.

codez · April 26, 2010

Pret xss un xsrf nav drošs.

Pret SQL injekcijām ir.

Edited April 26, 2010 by codez

Morphius · April 27, 2010

Te bija domaats ka pirms ielogoshanaas ir janoformatee 'username' lai droshi tiktu izpildiits kverijs. Respektiivi xss un xsrf atkriit, taa ir pavisam cita opera!

Aleksejs · April 27, 2010

Pie reizes uzreiz arī vari pārbaudīt, vai username nepārsniedz pieļaujamo garumu. Ja ir zināms, ka 488762 simbolu garš lietotājvārdam nav vietas datu bāzē, tad labāk uzreiz atmest šādus lietotājvārdus nevis riskēt (kaut arī pietiekami minimāli) uzrauties uz kādas no DB komponenšu kļūdām attiecībā uz pārgariem datiem.

daGrevis · April 27, 2010

Kāpēc jātaisa ar trim()? Nevar vienkārši ar mysql_real_escape_string()??

Morphius · April 27, 2010

Kāpēc jātaisa ar trim()? Nevar vienkārši ar mysql_real_escape_string()??

Tu tagad mulki teelo vai tieshaam uzdot interaktiivu jautaajumu? Es protams neesmu lietas kursaa bet vai tad real_escape novaac atstarpes? Ja jaa tad trim() nav vajadziigs :)

Aleksejs · April 27, 2010

Bet kādēl lai neļautu atstarpes loginā? :D

Smuks logins:

Akakijs Agofonovs

Kāda vaina tādam?

php newbie · April 27, 2010

trim noņem atstarpes sākumā un beigās... un ne tikai atstarpes vēl new line un citus.

es pieņēmu ka trim ir gadijumiem kad lietotājs netišam ir ielicis atstarpi un tam nav nekāda sakara ar security.

daGrevis · April 27, 2010

Tieši tāpēc es prasu. Vai tam ir sakars ar drošību??

Bet es atstarpēm darītu savādāk (ar preg_match())! :P

Aleksejs · April 27, 2010

Pareizāk, manuprāt būtu nodefinēt, kādi simboli ir pieļaujami lietotājvārdā un neļaut vadīt neko citu. Piemēram, ja lietotājvārds var sastāvēt tikai no latīņu burtiem un cipariem, tad pārbaude ir šāda:

if(preg_match('/[^a-z0-9]/mi',$_POST['lietotajvards'])){
//Nekorekti simboli
}
else{
//Korekti simboli, turpinām ar mysql_real_escape() - tas nekas, ka nav atļautas pēdiņas, ja nu kaut kādā brīdī atļausim, nebūs jāfilozofē, kur un kas jāmaina
}

Sign In

login drošība

Recommended Posts

Vecteevs

Link to comment

Share on other sites

waplet

Link to comment

Share on other sites

codez

Link to comment

Share on other sites

Morphius

Link to comment

Share on other sites

Aleksejs

Link to comment

Share on other sites

daGrevis

Link to comment

Share on other sites

Morphius

Link to comment

Share on other sites

Aleksejs

Link to comment

Share on other sites

php newbie

Link to comment

Share on other sites

daGrevis

Link to comment

Share on other sites

Aleksejs

Link to comment

Share on other sites

Join the conversation

Browse

Activity