Forrás: tutorial.hu, Szerző: TLoF
—–
Általános jó tanácsként: Ne bízzunk meg a felhasználótól kapott adatokban. Minden olyan érték ami a felhasználótól jött gyanús, és csak megfelelő szűrések, átalakítások után kerülhet elmentésre az adatbázisban, megjelenítésre a weblapon.

* mysql_real_escape_string Kifejezetten fontos funkció. Az SQL injection támadások elkerülésében segít, kirakja a szükséges jeleket a felhasználó által beküldött adatokban. Használatához először csatlakozni kell a kívánt adatbázishoz.

* addslashes() hasonló mint a mysql_real_escape_string, de csak és kizárólag a ” és a ‘ jeleket figyeli. Figyeljünk oda hogy a magic_quotes on beállítás esetén a függvénynek érdekes mellékhatásai vannak.

* htmlentities() A felhasználótól érkező adatot szűri, a speciális karaktereket kicseréli a HTML megfelelőjére, így az SQL inject és az XSS típusú támadások ellen véd. Akkor használjuk, ha egy felhasználó által bevitt szöveget akarunk megjeleníteni a weblapunkon.

* strip_tags() A felhasználó által bevitt szövegből kiszedi a PHP, HTML és javascript tag-eket

* Md5() A jelszavakból képzett 32 karakteres hash-ek tárolása az adatbázisban sokkal biztonságosabb, mintha csak szövegként elmentenénk a jelszót.

* SHA1()Hasonló az MD5-höz, csak 40 karakteres hash-t képez.

Szerző: TLoF (http://tlof.hu)

Vélemény, hozzászólás?

Az email címet nem tesszük közzé. A kötelező mezőket * karakterrel jelöltük