 [MySQL][PHP] Pytanie o rzutowanie typów |
  |
| [MySQL][PHP] Pytanie o rzutowanie typów |
Post
#1
|
|
|
Grupa: Zarejestrowani Postów: 67 Pomógł: 0 Dołączył: 9.12.2008 Ostrzeżenie: (0%) 
 |
Chciałbym dowiedzieć się paru rzeczy o SQL Injection. W swoich skryptach np. przy przekazywaniu id stosuję rzutowanie typów czyli np. (int) $_GET['variable'].
Czy rzutowanie typów zabezpiecza w pełni przed SQL Injection? |
 |
 
|
|
Post
#2
|
|
|
Grupa: Moderatorzy Postów: 36 557 Pomógł: 6315 Dołączył: 27.12.2004 |
rzutowanie na int, gdy oczekujemy liczby, zabezpiecza w pelni cie przed tym atakiem
edit: oczywiscie pomijam sytuacje gdy ktos z palca poda jakies ID, do ktorego teoretycznie nie ma dostepu. to oczywiscie tez musisz sprawdzac, ale to juz inna bajka |
|
|
|
|
Post
#3
|
|
|
Grupa: Zarejestrowani Postów: 67 Pomógł: 0 Dołączył: 9.12.2008 Ostrzeżenie: (0%)
|
Ok. Dzięki za odpowiedź. Mam jeszcze jedno pytanie. Czy używanie rzutowania typów ma sens w frameworkach, które są normalnie zabezpieczone przed SQL Injection ? Osobiście używam FW Kohana. Chodzi mi o używanie rzutowania w zapytaniach gdzie używa się id np. takich:
Kod $view-> something= ORM::factory ('something')-> where ('id', (int) $id)-> find();
Ten post edytował Matado 11.08.2009, 12:23:31 |
|
|
|
|
Post
#4
|
|
|
Grupa: Moderatorzy Postów: 36 557 Pomógł: 6315 Dołączył: 27.12.2004 |
ja osobiscie zawsze jak pobieram cos od uzytkownika i to cos ma byc intem, to rzutuje to na inta (robie to w klasie, ktora sluzy do pobierania parametrow od uzytkownika).
oczywiscie teoretycznie odpowiednie klasy do db i odpowiednio uzywane tez zapewniają ochrone przed slqinjection |
|
|
|
|
Post
#5
|
|
|
Grupa: Zarejestrowani Postów: 67 Pomógł: 0 Dołączył: 9.12.2008 Ostrzeżenie: (0%)
|
Teraz już wiem wszystko co chciałem. Dzięki za odpowiedź.
|
|
|
|
|
|
Aktualny czas: 24.08.2025 - 04:29 |
