Скачать презентацию
Идет загрузка презентации. Пожалуйста, подождите
1
Безопасный код © Александр Швец
2
SQL инъекция $result = db_query(' SELECT * FROM users WHERE id = '" + $userID + "'; );
3
$userID = "5;DROP TABLE users";
4
$result = db_query(' SELECT * FROM users WHERE id = 5;DROP TABLE users; ');
5
Неправильно $result = db_query(' SELECT * FROM users WHERE id = '" + $userID + "'; );
6
Правильно $result = db_query(' SELECT * FROM users WHERE id = %d, $userID);
7
Cross-site scripting (XSS) Основная проблема кража пользовательских cookies, с помощью которых производится неавторизированный вход на сайт.
8
Как крадутся cookie document.write( );
9
Уязвимость в реальной жизни $output =. $title. ;
10
$title = alert(document.cookie) ;
11
alert(document.cookie)
12
$url = javascript:alert(document.cookie);
13
…
14
Неправильно $output =. $title. ;
15
Правильно $output =. check_plain($title). ;
16
Еще лучше $output = l($title, $url);
17
Фильтрация ввода лечение от XSS check_plain() check_markup() ckeck_url() t() filter_xss_admin()
18
Подделка межсайтовых запросов (CSRF) Быстро удалить документ
19
А что если?
20
Лечение CSRF Управляющий код должен выполняться только в обработчиках форм, либо с проверкой токенов.
21
Спасибо за внимание! Контакты: Александр Швец Ссылки:
Еще похожие презентации в нашем архиве:
![CREATE TABLE Ident_table ( ID int IDENTITY(1, 1), some_values varchar(50)); IDENTITY [ ( seed, increment ) ]](/thumbs/6/683158/big_thumb.jpg "CREATE TABLE Ident_table ( ID int IDENTITY(1, 1), some_values varchar(50)); IDENTITY [ ( seed, increment ) ]")
