RFI LFI null byte si sql

[danutz0501]

Salut, voi cum v-ati apara un web site impotriva rfi , lfi si null byte.

Vestitul switch sau daca aveti paginile intr-un director folositi scandir si in_array()?

Si pdo (interogari parametrizate placeholdere etc) ma scapa de sql injection?

[totti93]

Poti folosi scandir() si in_array() limitandu-te doar la fisierele aflate in acel director de unde vor fi incluse ele.

Pentru a apara un SQL Injection eu folosesc mysql_real_escape_string() din libraria mysql.

[shaggi]

Pentru a apara un SQL Injection eu folosesc mysql_real_escape_string() din libraria mysql.

si eu folosesc addslashes()

[totti93]

Da, multi fac escape la caracterul 0x27 ('), dar gresesc la sintaxa de interogare SQL, greseli gen:

SELECT * FROM `tabel` WHERE `id`=$id;

$id fiind un parametru controlat de utilizator (client).

Multi nu il folosesc string, gen '$id', si din aceasta cauza se poate face injecta.

[c0unt3rlog1c]

Pentru RFI, eu folosesc FILTER_VALIDATE_URL sau FILTER_SANITIZE_URL, merge pe PHP 5.2 sau mai mare.

Iar pentru LFI, la fel ca mai sus.

La SQLi, mysql_real_escape_string() e cea mai buna solutie.

Iar pentru null byte, eu folosesc codul urmator, care elimina de tot byteul:

$file = str_replace(chr(0), '', $string);

[danutz0501]

Eu ma folosesc de pdo, setez default charset utf-8, emulare interogari parametrizate off, type casting la bindValue etc.

Am intrebat pt ca am gasit niste articole, discutii cum vreti sa ai ziceti pe stackoverflow(sper sa nu fie considerata reclama) in care se tot spunea ca pdo si interogarile parametrizate nu ar fi chiar asa safe. Oricum ms pt raspunsuri.