Pilat Сообщение 23/06/2007 18:44 Копия темы
Предложение улучшить фильтрацию сообщений Вчера я попытался послать, в ответ на www.free-lance.ru/blogs/v... , две строки с командами MySQL. Получил ответ –

«Запрет системы безопасности
Ваш запрос был заблокирован системой безопасности сайта!"

Сегодня эти две строки, почти в неизменном виде, прошли нормально, но я уже не помню, что изменилось – кажется, я не поставил точки с запятой в конце строк.

Сегодня я попытался ответить на вопрос о применении AJAX и послал маленький фрагмент JavaScript – получил то же самое сообщение от системы безопасности. На картинке примерно то, что я посылал.

Как мне кажется, в сообщениях фильтруются некоторые последовательности символов, которые могут привести к sql injection или кросс-сайт скриптингу.

Есть предложение: Этого не делать.

Во-первых, попытки так заботиться о безопасности раньше приводили к тому, что хакеры подбирали неотслеживаемые варианты.
Во вторых, есть более простой способ, а именно заменять всё кроме алфавитно-цифровых символов на HTML спецсимволы, как в большинстве форумов и делается. Это позволит приводить фрагменты кодов, что упростит обсуждение проблем программирования и вёрстки.

Darx Сообщение 23/06/2007 18:48 Копия темы
+1
я седня 2 раза так обломался

NightWriter Сообщение 23/06/2007 19:33 Копия темы
Согласен. А воообще странновато реализован механизм безопасности на лансере...

JonGol Сообщение 23/06/2007 19:46 Копия темы
у меня тоже самое было :(

VETERINAR Сообщение 05/08/2007 14:18 Копия темы

VETERINAR Сообщение 05/08/2007 14:19 Копия темы

NightWriter Сообщение 05/08/2007 23:30 Копия темы
Я бы так не сказал...Они блокируютдовольно-таки косовато. Можно попроще и получше

VETERINAR Сообщение 05/08/2007 23:44 Копия темы

Pilat Сообщение 07/08/2007 10:17 Копия темы
Фрагменты sql к взломам отношение имеют только в случае неправильного использования mysql.