[PHP]Bezpieczeństwo Opcje

[adrianozo]

Witam.
Mam pytanie:

Czy kod poniżej jest bezpieczny? I czy w ogóle będzie działał?

[PHP] pobierz, plaintext 
$info = addslashes($_POST['info']);
[PHP] pobierz, plaintext 

Z góry dziękuje (IMG:style_emoticons/default/smile.gif)

[piotrooo89]

ale bezpieczny pod jakim względem? co z nim robisz? bo jeśli chcesz filtrować to co dodajesz do bazy danych to używaj mysql_real_escape_string.

Ten post edytował piotrooo89 9.12.2009, 20:20:44

[adrianozo]

Właśnie o to chodziło (IMG:style_emoticons/default/smile.gif)
Ale na tej zasadzie zrobić?

[PHP] pobierz, plaintext 
$info = mysql_real_escape_string($_POST['info']);
[PHP] pobierz, plaintext 

(IMG:style_emoticons/default/questionmark.gif)

A mam pytanie:

Czy

[PHP] pobierz, plaintext 
mysql_real_escape_string();
[PHP] pobierz, plaintext 

można też zastosować do zapytań np. INSERT?

No to zabezpieczyłem ;/
Po poniższym kodzie nie dodaje mi rekordu do bazy... Dlaczego?

[PHP] pobierz, plaintext 
<?php
include('include/db.php');
$info = addslashes($_POST['info']);
$kategoria = addslashes($_POST['kategoria']);
$tytul = addslashes($_POST['tytul']);
$cena = addslashes($_POST['cena']);
$plik_nazwa = addslashes($_POST['plik']);
$zdjecie_nazwa = addslashes($_POST['zdjecie']);
$data = date('Y-m-d-G:i:s');
include('include/dane.php');
$zapytanie = "INSERT INTO `artykuly` (`info`, `kategoria`, `tytul`, `cena`, `plik`, `zdjecie`, `data`) VALUES ('".$info."', '".$kategoria."', '".$tytul."', '".$cena."', 'upload/".$plik_nazwa."', 'zdjecie/".$zdjecie_nazwa."', '".$data."')";
$zapytanie = addslashes($zapytanie);
$idzapytania = mysql_query($zapytanie);
}
}
}
}
else
{
echo '<div style="text-align:center;">Zły format pliku!<br /><a style="text-decoration: none;" href="?page=dodajartykul">Wr&#xF3;&#x107;</a></div>';
}
if($idzapytania)
{
echo '<div style="text-align:center;">Dodano artyku&#x142;<br /><br /><a style="text-decoration: none;" href="?page=paneladmina">Wr&#xF3;&#x107; do Panelu Administratora</a></div>';
}
}
mysql_close($connect);
?>
[PHP] pobierz, plaintext 

To jest tylko część kodu.

[nospor]

wywal to:
$zapytanie = addslashes($zapytanie);
masz slashowac wartosci a nie zapytanie.

[adrianozo]

Dzięki działa (IMG:style_emoticons/default/smile.gif)

[adrianozo]

Mam pytanie odnośnie bezpieczeństwa.
Jak można zabezpieczyć skrypt PHP/MySQL przed wszelkiego rodzaju atakami?
Głównie chodzi o bezpieczeństwo skryptów.

[bolverk]

Jak dla mnie ogólną zasadą bezpieczeństwa skryptu jest: Filtruj input, escepe'uj output (IMG:style_emoticons/default/smile.gif)

[wNogachSpisz]

 I tak i nie, jeśli chodzi o walidację zapytań do bazy SQL:
http://shiflett.org/blog/2006/jan/addslash...l-escape-string

Jeśli chodzi o XSS, to nie koniecznie, albo nawet wcale  (IMG:style_emoticons/default/smile.gif)

Zabezpieczyc stronę przed wszelkiego rodzaju atakami mozna tym:
http://hack.pl/forum/showthread.php?p=46299



--------
http://homehost.pl - (prawie) darmowy hosting

Ten post edytował wNogachSpisz 10.12.2009, 01:07:29

[piotrooo89]

to i ja coś dorzuce: http://www.beldzio.com/kategoria/bezpieczenstwo