Tekil Mesaj gösterimi - Blind SQL/XPATH İNJECTİON açığı nasıl kapatılır? - R10.net

Konu Blind SQL/XPATH İNJECTİON açığı nasıl kapatılır?

24-07-2009, 18:14:56

#3

proserpina

sorunu yaşadığım konuda filtreyi ben yaptım kodda şu şekilde:
function injek($string)
{$search = array(',','?','*','‘','OR','AND','%','&','$','>',' =','--','xp_','!','–','#','like','drop','create','modify ','rename','alter','cast','join','union','where',' insert','delete','update',"'","+","-","and","or","LIKE","DROP","CREATE","MODIFY","RENA ME","ALTER","CAST","JOIN","UNION","WHERE","INSERT" ,"DELETE","UPDATE",'"');

$replace = array(' ',' ',' ',' ',' ',' ',' ',' ',' ',' ',' ',' ',' ',' ',' ',' ',' ',' ',' ',' ',' ',' ',' ',' ',' ',' ',' ',' ',' ',' ',' ',' ',' ',' ',' ',' ',' ',' ',' ',' ',' ',' ',' ',' ',' ',' ',' ',' ');

$new_text = str_replace($search,$replace,$string);
$string=mysql_real_escape_string($new_text);
return($string);
}

bu fonksiyonla süzüyorum her değişkeni yine de açık çıkıyor