Jump to content
danutz0501

RFI LFI null byte si sql

Recommended Posts

Posted

Salut, voi cum v-ati apara un web site impotriva rfi , lfi si null byte.

Vestitul switch sau daca aveti paginile intr-un director folositi scandir si in_array()?

Si pdo (interogari parametrizate placeholdere etc) ma scapa de sql injection?

Posted

Poti folosi scandir() si in_array() limitandu-te doar la fisierele aflate in acel director de unde vor fi incluse ele.

Pentru a apara un SQL Injection eu folosesc mysql_real_escape_string() din libraria mysql.

Posted

Da, multi fac escape la caracterul 0x27 ('), dar gresesc la sintaxa de interogare SQL, greseli gen:

SELECT * FROM `tabel` WHERE `id`=$id;

$id fiind un parametru controlat de utilizator (client).

Multi nu il folosesc string, gen '$id', si din aceasta cauza se poate face injecta.

Posted

Pentru RFI, eu folosesc FILTER_VALIDATE_URL sau FILTER_SANITIZE_URL, merge pe PHP 5.2 sau mai mare.

Iar pentru LFI, la fel ca mai sus.

La SQLi, mysql_real_escape_string() e cea mai buna solutie.

Iar pentru null byte, eu folosesc codul urmator, care elimina de tot byteul:

$file = str_replace(chr(0), '', $string);

Posted

Eu ma folosesc de pdo, setez default charset utf-8, emulare interogari parametrizate off, type casting la bindValue etc.

Am intrebat pt ca am gasit niste articole, discutii cum vreti sa ai ziceti pe stackoverflow(sper sa nu fie considerata reclama) in care se tot spunea ca pdo si interogarile parametrizate nu ar fi chiar asa safe. Oricum ms pt raspunsuri.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.



×
×
  • Create New...