Задать вопрос
Не нравятся результаты поиска? Попробуйте другой поиск!
DLE FAQ » Все вопросы » MySQL » Защита от SQL инъекций

Защита от SQL инъекций

     03.08.2011    sql, secured dle    Все вопросы » MySQL    5512

вопрос
Каким способом можно обезопасить свой ресурс от SQL инъекций?

Ответил: ПафНутиЙ

Самый простой способ защиты от SQL-инъекции – «обрамлять» параметры SQL-запроса одиночными кавычками ('), поскольку через GET- и POST-запрос невозможно передать символ одиночной кавычки (он будет автоматически заменен сочетанием символов – \' – т.е. экранироваться).

2 комментария

rashpil
Эксперт

rashpil - 3 августа 2011 19:44 -

В дле вроди бы и нету таких уж запросов, через которые можно было свершить скул инъекцию. А вот при разработке необходимо фильтровать входяшие данные (Особенно, если дело касается запросов в базу). Так же экранировать (addslashes();) или сохранять полученные данные в таком виде, в в котором скрипт их получает. Это вроди бы: $db->safesql();

Ну вот, вроди бы и всё :)
kovalenko3331
Юзер

kovalenko3331 - 1 декабря 2012 21:53 -

Друзья помогите забанить окончательно недоделанных хацкеров. И так второй день ip банить нет смысла постоянно меняются
[Sat Dec 01 21:26:07 2012] [error] [client 94.41.187.186] File does not exist: /home/сайт/public_html/index.php+++++++++++++++++++++++++++++++++++++++++++++++Result:+, referer: http://www.сайт.ru/index.php+++++++++++++++++++++++++++++++++++++++++++++++Result:+#trans%5Bru%5D;+%ED%E5+%ED%E0%F8%EB%EE%F1%FC+%F4%EE%F0%EC%FB+%E4%EB%FF+%EE%F2%EF%F0%E0%E2%EA%E8;
[Sat Dec 01 20:01:48 2012] [error] [client 91.224.160.35] File does not exist: /home/сайт/public_html/administrator, referer: http://kino-raduga.ru/administrator/index.php
[Sat Dec 01 19:40:08 2012] [error] [client 94.41.162.45] File does not exist: /home/сайт/public_html/index.php+++++++++++++++++++++++++++++++++++++++++++++++Result:+, referer: http://www.сайт.ru/index.php+++++++++++++++++++++++++++++++++++++++++++++++Result:+#trans%5Bru%5D;+%ED%E5+%ED%E0%F8%EB%EE%F1%FC+%F4%EE%F0%EC%FB+%E4%EB%FF+%EE%F2%EF%F0%E0%E2%EA%E8;
[Sat Dec 01 19:40:03 2012] [error] [client 94.41.162.45] File does not exist: /home/сайт/public_html/index.php+++++++++++++++++++++++++++++++++++++++++++++++Result:+, referer: http://www.сайт.ru/index.php+++++++++++++++++++++++++++++++++++++++++++++++Result:+#trans%5Bru%5D;+%ED%E5+%ED%E0%F8%EB%EE%F1%FC+%F4%EE%F0%EC%FB+%E4%EB%FF+%EE%F2%EF%F0%E0%E2%EA%E8;
[Sat Dec 01 19:20:11 2012] [error] [client 46.63.188.211] File does not exist: /home/сайт/public_html/index.php+++++++++++++++++++++++++++++++++++++++++++++++Result:+\xed\xe5+\xed\xe0\xf8\xeb\xee\xf1\xfc+\xf4\xee\xf0\xec\xfb+\xe4\xeb\xff+\xee\xf2\xef\xf0\xe0\xe2\xea\xe8;, referer: http://www.сайт.ru/index.php+++++++++++++++++++++++++++++++++++++++++++++++Result:+%ED%E5+%ED%E0%F8%EB%EE%F1%FC+%F4%EE%F0%EC%FB+%E4%EB%FF+%EE%F2%EF%F0%E0%E2%EA%E8;
Чтобы комментировать - войдите или зарегистрируйтесь на сайте

Похожие вопросы

 15.05.2012 FreakMurderer  MySQL
 10.10.2012 MegaBoBeR  MySQL
 14.11.2012 guardian_x  MySQL
 11.10.2013 maximantropov  MySQL
 18.04.2014 DenKyrk  MySQL
 08.06.2014 never3d222  MySQL
 23.06.2014 mixa611  MySQL
 22.12.2014 edik8305  MySQL
 30.03.2015 mixadencik  Общие вопросы, MySQL
 31.05.2015 G-Force  MySQL
  • mondolfo | Шаблон waitlogin при авторизации через с ...
    Фото mondolfo
    mondolfo
    Шаблон waitlogin при авторизации через соцсеть?
    1-11-2024, 01:31
    /engine/modules/social.php
  • TeraMoune | Как изменить вывод custom по нескольким ... 11
    Фото TeraMoune
    TeraMoune
    Как изменить вывод custom по нескольким тегам?
    28-10-2024, 01:05
    Я же написал, продублирую: нужно использовать [[:punct:]]

    И проблема в условии проверяющее версию mysql, можно поменять местами true и false, изменить знак меньше на больше или вовсе убрать код строки с version_compare и оставить ту строку кода $tempArray[] где используется [[:punct:]].

    В статье также указано, что важно использовать экранирование, собственно, что и указано в методе по исправлению ошибки.
    Статья по решению проблемы

    Там у человека совершенно другое условие поиска. Он не теги ищет которые строго разделены запятыми, он просто слова ищет и ему как раз подойдёт граница слова. И это когда-то давно поиск был разделяя по границе слова, теперь есть character_class и используется другой метод. Но это не отменяет того, что вы нашли вопрос и решение которое никак не связано с темой новости поиска новостей с наличием тегов.
  • homa152 | Как изменить вывод custom по нескольким ... 11
    Фото homa152
    homa152
    Как изменить вывод custom по нескольким тегам?
    27-10-2024, 23:33
    Если вы готовы предложить какое-то решение для исправление проблемы 3685, отлично. Иначе к сожалению на последних версиях MySQL хак не рабочий, согласно вашему трактату.
  • homa152 | Как изменить вывод custom по нескольким ... 11
    Фото homa152
    homa152
    Как изменить вывод custom по нескольким тегам?
    27-10-2024, 23:20
    Я буквально 2 часа назад столкнулся с проблемами при установке этого хака, проблема была именно в ошибке 3685, сайт не просто переставал работать, использовалась стандартная заглушка при критических ошибках MySQL исправить получилось методом описанным выше, для версия до 8 хак работает исправно, но выше, требуется доработка, так как синтаксис считается ошибочным, вы можете проверить самостоятельно.

    В статье также указано, что важно использовать экранирование, собственно, что и указано в методе по исправлению ошибки.
    Статья по решению проблемы
  • TeraMoune | Как изменить вывод custom по нескольким ... 11
    Фото TeraMoune
    TeraMoune
    Как изменить вывод custom по нескольким тегам?
    27-10-2024, 22:32
    Напротив нужно использовать [[:punct:]] вместо скобок, про это написано в документации на которую вы ссылаетесь. А \b означает границу слова и не способен правильно отображать результаты. Граница слова это когда выражение будет находить отдельные слова. Например новость имеет теги (Социальная сеть, Блокировка) и tags REGEXP '\\b(сеть)\\b' найдёт новость с тегом Социальная сеть, а так же Рыбацкая сеть и в принципе найдёт все новости где присутствует слово "Сеть" и будет много лишних результатов, а не только нужные.

    В хаке как раз присутствует проверка на старую версию и новую mysql и в каждом случае используется тот вариант который является валидным для используемой версии.
  • homa152 | Как изменить вывод custom по нескольким ... 11
    Фото homa152
    homa152
    Как изменить вывод custom по нескольким тегам?
    27-10-2024, 21:30
    Добавлю касаемо обновления архитектуры MySQL
    При добавлении хака с версии MySQL 8.0, возможно появление ошибки: 3685. Неверный аргумент для регулярного выражения.

    Можно пофиксить самостоятельно внеся корректировки в сам хак из панели админа.

    Строку:
    $tempArray[] = "tags REGEXP '[[:<:]](" . $value  . ")[[:>:]]'";


    Заменить на: 
    $tempArray[] = "tags REGEXP '\\\\b(" . $value  . ")\\\\b'";


    Согласно справочному руководству MySQL 8.0 / ... / Регулярные выражения, «MySQL поддерживает регулярные выражения с помощью международных компонентов для Unicode (ICU)».

    То есть, вместо "[[:<:]] и [[:>:]]", нужно использовать: "\b"
  • vitnet | Есть ли возможность изменить язык сайта? 1
    Фото vitnet
    vitnet
    Есть ли возможность изменить язык сайта?
    25-10-2024, 16:22
    Ну как вариант можно использовать тег {lang text=***} подробнее


    {lang text="LANG_PARAMETER"}

    Данный тег предназначен для вывода информации из языкового файла website.tpl, который в данный момент используется, где LANG_PARAMETER это значение параметра, который необходимо вывести. Например, тег {lang text="attach_images"} выведет надпись “Прикрепить изображения” из языкового пакета, в случае использования русского языка и если используется английский язык, то “Attach Images”
  • vitnet | Есть готовый модуль рейтинга комментарие ... 1
    Фото vitnet
    vitnet
    Есть готовый модуль рейтинга комментариев?
    25-10-2024, 13:12
    Вариант 1 (вручную)

    1.0 Открываете файл engine/modules/show.full.php находите в нем
    $where_approve . " ORDER BY " . PREFIX . "_comments.id " . $comm_msort;

    И меняете здесь id на rating
    Пример:
    $where_approve . " ORDER BY " . PREFIX . "_comments.rating " . $comm_msort;

    2.0 Затем переходите в админку /admin.php?mod=options&action=syscon --> Настройки комментариев --> Порядок сортировки комментариев --> По убыванию

    2.1 Далее --> Тип рейтинга комментариев выставляете "Нравится или Не нравится"

    Готово!

    Вариант 2 (плагин)
    Для просмотра содержимого спойлера, перейдите к выбранному событию.
  • Graf | Как сделать аякс кнопку "загрузить еще"? 2
    Фото Graf
    Graf
    Как сделать аякс кнопку "загрузить еще"?
    23-10-2024, 16:03
    Вот рабочий пример со скрытие пагинатора и кнопки.
    Полный код файла navigation.tpl
    [not-available=userinfo]
<div class="nav-load" id="nav-load">[next-link]Загрузить еще[/next-link]</div>

<nav class="navigation"[available=lastcomments] style="padding: 4% 8%;"[/available]>
	<div class="page_next-prev">
		<span class="page_prev" title="Предыдущая страница">
			[prev-link]<svg class="icon icon-left"><use xlink:href="#icon-left"></use></svg>[/prev-link]
		</span>
		<span class="page_next" title="Следующая страница">
			[next-link]<svg class="icon icon-right"><use xlink:href="#icon-right"></use></svg>[/next-link]
		</span>
	</div>
	<ul class="pagination">
		{pages}
	</ul>
</nav>
<script type="text/javascript">
$(document).ready(function(){
    
         $('body').on('click','#nav-load a',function(){
        var urlNext = $(this).attr('href');
        var scrollNext = $(this).offset().top - 200;
        if (urlNext !== undefined) {
            $.ajax({
                url: urlNext,
                beforeSend: function() {
                    ShowLoading('');
                },            
                success: function(data) {
                    $('.navigation').remove();
                    $('#nav-load').remove();
                    $('#dle-content').append($('#dle-content', data).html());
                    $('#dle-content').after($('#bottom-nav'));
                    window.history.pushState("", "", urlNext);
                    $('html, body').animate({scrollTop:scrollNext}, 800);    
                    HideLoading('');
                },
                  error: function() {                
                    HideLoading('');
                    alert('что-то пошло не так');
                  }
            });
        };
        return false;
    });
    
});
</script>
[/not-available]
  • vitnet | Как перенести категории в DLE? 2
    Фото vitnet
    vitnet
    Как перенести категории в DLE?
    22-10-2024, 11:30
    Для начала проверьте наличие файла /engine/cache/system/category.php и если он был до замены БД то удалите его а ещё лучше очистить кеш.
наверх