איזה פרצת אבטחה קשה יותר לחסום?

[-Smoxer-]

איזה פירצת אבטחה קשה יותר לחסום?
לדעתי SQL injection.
דיון פורה

[xName]

Sql injection !

XSS זה קל לחסום
SQLI גם קל
והשאר קלים אך יש כמה שיטות לפצח את Sql injection !

[BarneyStinson]

מה קשה לחסום בSQLI? כולה אתה חוסם אותיות מיוחד, זה הכל.

[Crazy_Style]

קוד PHP:

mysql_real_escape_string() 


כן, קשה רצח.
לנושא: זה קל לחסום הזרקות באופן כללי. מתכנתים אמורים לעשות את זה באופן אוטומטי. בכל אופן, LFI לדעתי. צריך להכין White List לקבצים שנכנסים.

[Zixem]

SQLI ממש קל לחסום, חשבתי בתור מנהל פורום אבטחת מידע יהיה לך קל...
LFI זה די קשה, כמו שאמרו פה..צריך להכין רשימה של קבצים הניתנים להרצה.

[Crazy_Style]

SQLI ממש קל לחסום, חשבתי בתור מנהל פורום אבטחת מידע יהיה לך קל...
LFI זה די קשה, כמו שאמרו פה..צריך להכין רשימה של קבצים הניתנים להרצה.

קוד PHP:

<?php
$get = $_GET['page'];
$act = include($get);
if ($get == 'index.php' || 'register.php' || 'rawr.php' || 'login.php') {
echo $act; }
else { 
header(Location: 'index.php');
} ?>

קשה זה לא~

[Zixem]

קוד PHP:

<?php
$get = $_GET['page'];
$act = include($get);
if ($get == 'index.php' || 'register.php' || 'rawr.php' || 'login.php') {
echo $act; }
else { 
header(Location: 'index.php');
} ?>

קשה זה לא~

ומה אם אתה רוצה להוסיף דפים? כל פעם צריך לעדכן את התנאי, וזה נורא מעצבן..מה אם אתה איש שקנה מערכת כזאת לדוגמא?
חוץ מזה, יש מקרים, יש מקרים...בטוח שאפשר לעקוף את זה, אולי עכשיו אין לי דרך, אבל על בטוח יש (: