[PHP]&[MySQL] - Zapytanie z $_GET, Kwestia bezpieczeństwa Opcje

[-Wieviór-]

Powiedzmy, że mam stronę www.strona.pl/pokazuzytkownika.php?id=7645

Jego dane wyczytuję z bazy poprzez zapytanie z WHERE id = $_GET[id]. Wszystko ładnie, tylko pozostaje kwestia bezpieczeństwa, bo przecież w tego $_GET'a sporo można sobie wpisać, UNION jakiś czy coś.

Czytałem na stronie głównej artykuł o tym i powoli usuwam luki z zabezpieczeniach:

[PHP] pobierz, plaintext 
<?php
$striped = strip_tags ($_POST[id]);
$gotowy = mysql_real_escape_string ($striped);
$sql = "SELECT * FROM uzytkownicy WHERE id = '".$gotowy."'";
?>
[PHP] pobierz, plaintext 

Czy to wystarczy, i czy w ogóle dobrze robię?

Ten post edytował Wieviór 23.09.2007, 12:13:30

[kris2]

według mnie to wystarczy (IMG:http://forum.php.pl/style_emoticons/default/smile.gif)

[Cysiaczek]

@Wieviór - no nie jesteś nowy na forum...(IMG:http://forum.php.pl/style_emoticons/default/exclamation.gif) !
Popraw proszę tytuł topiku na zgodny z zasadami forum Przedszkole

[batman]

Tak, takie coś powinno wystarczyć, jednak pamiętaj, że skoro potrzebujesz id, to nie baw się w usuwanie tagów, itp, lecz od razu przejdź do rzeczy. Możesz sprawdzić przy pomocy is_numeric, czy zmienna jest liczbą lub zrzutowac przy pomocy (int).

[PHP] pobierz, plaintext 
<?php
// przyklad 1
if(is_numeric($_GET['id'])) {
	// select ...
}
 
// przyklad 2
$sql = 'select * from tabela where id = '.(int)$_GET['id'];
?>
[PHP] pobierz, plaintext 

[-Wieviór-]

@Cysiaczek: Słusznie szefie, już poprawiam ;]

@batman: Podałem zły przykład, rzeczywiście gdy mam int to nie ma problemu, bo mogę zrobić jak pokazałeś, ale gdy to jest np. nazwa użytkownika przy logowaniu?

[batman]

Jeśli pobierasz dane od użytkownika, które przesyłasz do bazy danych trzeba:
1. strip_tags.
2. Czasem dla pewności można użyć htmlentities.
3. Użyć funkcji escape_string.

Dobrym zwyczajem jest ograniczyć długość ciągu, jaki jest podawany przez użytkownika. Najpierw w JS sprawdzić długość, następnie po stronie serwera.