Søkeresultater

Hvorfor er det alltid slik at når noen skal ha masse webapplikasjoner, så vifter dem med en(1) tusenlapp? la oss si et prosjekt som detta: Lurer litt på om de samme personene tenker "Jeg får kvalitets varer på Nille, så der handler jeg krystallglassene..." Tid koster, sånn er det...

tokk meg en liten halvtime å finne svakhetet på alle sidene... HVor alvorlige disse hullene er, har jeg ikke testet... men når du betaler noen hundretusen til millioner for et webprosjekt, burde det da være 100%

Du har helt rett... /note-to-self: sjekk fakta før en åpner kjeften Ser ut til at sikkerheten bare er er sporadisk tatt med i prosessene dems, så får vel trekke tilbake skryten jeg ga dem først. Både visitnorway, lo, gsport, og care er alle åpne for angrep av forskjellige slag...

makingwaves.no Løsningene derifra er kvalitet hvertfall.

Du burde hvertfall bytte til preg_match, raskere en eregi(samt at eregi blir fjerenet) Så hadde jeg benyttet denne regXen på epost $epostRegX = '/^([\\w-_]|[\\w-_]+[\\.]+[\\w])+([@]{1,1})+[\\w-_]+[\.]+([a-zA-Z]{2,5}$|[a-zA-Z]{2,5}+[\\.]+[a-zA-Z]{2,3}$)\b/i'; Og din name valid; er det noen...

Jeg ville helt klart ha lagt til en validering av inn-data her, så du er sikker på at du får en e-post adresse og et navn. Dette gjør 1. At du slipper mest mulig søppel i databasen 2. Brukeren får en tilbakemelding om den skriver inn noe på en feil måte ( burde bli gitt muligheten til å...

Har du litt mer informasjon rundt dette, hvilken type nettleser bruker du? Da alt jeg har testen den i virker feilfritt @olafmoriarty: Veldig smart, hadde jeg ikke tenkt på... Har lagt til dette nå. @hansson: Endte du opp med å måle at linja var helt rett eller? :p Det var ikke en effekt...

Har den siste tiden drevet å utviklitet min egen portefølje, det mangler litt tekst, og noe tekst må kanskje revideres... Men ønsker i hovedsak respons på design så langt. Portefølje for Eirik Nesbakken ++ Webdesign & webutvikling Takk!

Må rette litt på meg selv her, i PHP med vanlig MySQL extension så er ikke akkurat denne typen injection mulig. Da mysql_query har noen innebygde sperrer... Om det faktisk er riktig måte å håndtere sikkerhet kan diskuteres, for de fjerer en del muligheter for litt mer avanserte spørringer...

Men du kan ikke stoppe noen i å endre tallet som står i adressefeltet til noe annet, så trykke enter på nytt. Linken du lager en ut-data, men i det øyeblikket det er hos brukeren, og den bestemmer seg for å sende en request... så blir det inn-data, og da må det på nytt valideres, for å se at...

Noen farer ved SQL injection, det er ikke bare passordene det er mulig å få tak i... alt som er lagret i dem, personopplysninger(tlf nr, e-post, addresse, you name it), side data, transaksjons logger eller poeng systemet( om det er noe slikt?). I tillegge så kan jo data slettes eller endres...

det kommer jo litt ann på, om det bare er du som har lov til å legge inn linkene, så er det jo ikke noe problem... Men om det er andre bruker som kan legge inn, så ja da burde det deles opp, slik du sier. Men Det burde ikke være nødvendig å outputespace selve URLen. Det som er viktig er at...

PÅ veldig generelt basis så skal en alltid validere eller vaske inndataen, så den dataen som blir sendt videre i applikasjonen kun innholder det som forventes. Når dataen skal sendes til et subsystem(database, nettleser, e-post, andre programmer) så skal dataen, som nå er blitt en utdata...

function genVal($str) { if(empty($str)) { return false; } $TryggeChars = addcslashes('.!?.\'*|$[]%#^/:;', '.!?.\'*|$[]<>%#^/:;').'\\w\\pL \\(\\)\\&-'; if(preg_match('/^['.$TryggeChars.']+\\z/um', $str)) { return $str; } return false; } Denne er testet...

Om du bruker singel- eller double-quotes skal være ett fett, men det må brukes konsekvent i start og slutt. Men om du ser det jeg har uthevet, så er den escapet i PHPen, fordi jeg bruker singel-quotes. Og det med understrek skal ikke være der, da det legges til etter addcslashen... og må ha...

Yes, den skal med, den gikk bare glipp av merkingen ;) Jeg var litt rask i svingen tydeligvis, det skal være(endre hele linja: $TryggeChars = addcslashes('.!?.\'*|$[]%#^/:;', '.!?.\'*|$[]<>%#^/:;').'\\w\\pL \\(\\)\\&-'; notat: $tryggechars, det som står inne addcslashes('dette er...

putt function genVal($str=NULL) { //forenklet validerings funksjon if(empty($str)) { return false; } // vanlig quote er ikke med her $TryggeChars = addslashes('.!?.\'*|$[]<>%#^/:;').'\\w\\pL \\(\\)\\&-'; if(preg_match('^['.$TryggeChars.']\\z/um', $str)) // /u = UTF-8 encodedcheck -...

@Tonny sin case Etter en litt hurtig gjennomgang har jeg kommet frem til Med en utestet rettelse, men den tar for seg de problemene jeg så i farten. Poenget er at sikkerhet er en prosess som må tas med når applikasjonene skrives, da slipper en mange "fikser" i etterkant, som kanskje...

Om du kun ønsker å vaske inndata, så ja. I løsninger som henter data ifra databaser og lignende, vil jeg ikke anbefale det. Der vile jeg nok heller ha validert inputen, før det sendes request til databasen... Men si det er et søk, da kan du ikke vaske inndataen, da må alt med ->...

I hovedsak bruker en htmlspecialchars() om det er skrevet i PHP. Men jeg postet heller link (Nettsikkerhet.no ++ Innføring i inn og utdata) da det lett kan gjøres feil om en ikke har full forståelse for problemet, som igjen bare gjør mer farlig... s