Защита html форм

guru85 · 24 Фев 2016

Здравствуйте, необходимо защитить форму от всякого рода хакерских атак и возможности поломать мой сайт, полностью убирать возможность ввода тегов не представляется возможным, яваскрипт код отправленный формой, должен обязательно оставаться работоспособным в бд и отображаться потом при запросе. Как быть в этом случае, сейчас просто отправляется форма, доступна всем зарегистрированным посетителям сайта, без капчи и каких то проверок. Может тыкните носом в класс какй-нибудь или готовое решение или просто советом поможете?

ZiX · 24 Фев 2016

guru85 написал(а):
Здравствуйте, необходимо защитить форму от всякого рода хакерских атак и возможности поломать мой сайт, полностью убирать возможность ввода тегов не представляется возможным, яваскрипт код отправленный формой, должен обязательно оставаться работоспособным в бд и отображаться потом при запросе. Как быть в этом случае, сейчас просто отправляется форма, доступна всем зарегистрированным посетителям сайта, без капчи и каких то проверок. Может тыкните носом в класс какй-нибудь или готовое решение или просто советом поможете?

Просто не используйте в php @exec@
и фильтруйте данные вносимые в sql
полно инфы по таким escape функциям в сети... и примеров готовых) а html форма сама по себе опасной не бывает)

Q_BASIC · 24 Фев 2016

guru85 написал(а):
Здравствуйте, необходимо защитить форму от всякого рода хакерских атак и возможности поломать мой сайт, полностью убирать возможность ввода тегов не представляется возможным, яваскрипт код отправленный формой, должен обязательно оставаться работоспособным в бд и отображаться потом при запросе. Как быть в этом случае, сейчас просто отправляется форма, доступна всем зарегистрированным посетителям сайта, без капчи и каких то проверок. Может тыкните носом в класс какй-нибудь или готовое решение или просто советом поможете?

А доступ к добавлению/редактированию есть только у администраторов? Иначе у Вас XSS, а тут кража куки, CSRF и так далее

+ надо все запросы к бд экранировать, иначе SQL Injection

guru85 · 24 Фев 2016

да, добавить и редактировать могут только администраторы, но все равно наверно надо от SQL Injection защитится, думаю может в сторону mysqli посмотреть и вообще переписать код или пока остановиться на
mysql_real_escape_string

Parviz555 · 24 Фев 2016

Причем тут mysqli? Надо в коде проверять входящие данные, которые вносятся в форму.

guru85 · 24 Фев 2016

так вот и вопрос, как их правильно фильтровать так, чтобы работал яваскрипт код на выходе из бд.

latteo · 24 Фев 2016

guru85 написал(а):
так вот и вопрос, как их правильно фильтровать так, чтобы работал яваскрипт код на выходе из бд.

Разобраться один раз с Для просмотра ссылки Войди или Зарегистрируйся который позволяет отфильтровать входящие данные на теги и их параметры по whitelist, т.е. удаляет всё кроме заранее разрешенного.

Защита html форм

guru85

Постоялец

ZiX

Коддинг, Парсинг

Q_BASIC

Хранитель порядка

guru85

Постоялец

Parviz555

Профессор

guru85

Постоялец

latteo

Эффективное использование PHP, MySQL