Назад | Перейти на главную страницу

Предотвращение SQL-инъекций в Magento (условия поиска)

У меня вопрос, что можно сделать, чтобы предотвратить вредоносные поисковые фразы в базах данных mysql?

Пример рассылки спама по поисковым запросам: guayabera en espa�a//?option=com_product//catalog/seo_sitemap/account//index2.php?option=c

Я думаю о том, чтобы сделать это в PHP, предотвратив запрос с помощью ? персонаж. Или, возможно, просто заблокировать IP-адреса от использования функции поиска. Есть ли способ лучше?

В Magento уже есть много кода, который защитит вас от этого. Лучший способ защитить себя - это использовать последнюю версию и сборку Magento. (При обнаружении недостатков Magento исправляет их.)

Самая большая опасность - оставлять старые версии Magento (или любого другого приложения) на долгие годы. Во всех них есть недостатки, и единственный способ оставаться в относительной безопасности - это оставаться в курсе последних событий.

Magento имеет некоторую поддержку инъекционных атак и XSS, но в прошлом он был скомпрометирован в нескольких выпусках, поэтому не полагайтесь на его наличие достаточной автономной защиты.

Рассмотрите возможность добавления брандмауэра веб-приложений (naxsi) на ваш сервер в сочетании с брандмауэром IPS / IDS - это добавит дополнительную защиту для вас и ваших клиентов.

Поговорите со своим хостом, любой специализированный хост Magento будет иметь для этого условия, а если нет, смените хост.