 dane wejsciowe |
| dane wejsciowe |
Post
#1
|
|
|
Grupa: Zarejestrowani Postów: 36 Pomógł: 0 Dołączył: 9.11.2003 Ostrzeżenie: (0%) 
 |
Zawsze staram sie filtrowac zmienne wchodzace np. przez formularze, ale o ile doskonale wiem co robic ze zmiennymi liczbowymi (rzutowanie typu), to jak sie zabezpieczyc przed roznymi sql-injectionami zmiennych tekstowych? Np w formularzyku logowania odfiltrowuje (str_replace na puste) znak apostrofu ('). Ale obawiam sie, czy to wystarczy...
pozdrawiam! |
 |
 
|
 |
|
Post
#2
|
|
|
Grupa: Zarejestrowani Postów: 445 Pomógł: 0 Dołączył: 21.12.2003 Skąd: Tomaszów Lubelski Ostrzeżenie: (10%) 
|
Przede wszystkim zastosuj strip_tags() lub htmlspecialchars().
|
|
|
|
|
Post
#3
|
|
|
Grupa: Zarejestrowani Postów: 36 Pomógł: 0 Dołączył: 9.11.2003 Ostrzeżenie: (0%)
|
No tak, mysle o tym, ale to bardzo ogranicza mi hasla i loginy - a ja sam na przyklad lubie miec przynajmniej jeden znak specjalny w hasle:]
Nie znam zbyt dobrze mechanizmow SQL injection - dlatego trudno mi ocenic zagrozenie:] [php:1:63afcf79b4]<?php $sql = "SELECT id FROM rusers WHERE login='" . $_POST['rlogin'] . "' AND pass=MD5('" . $_POST['rpass'] . "')"; ?>[/php:1:63afcf79b4] Czy w tym wypadku nie starczy mi usuniecie apostrofow? |
|
|
|
|
Post
#4
|
|
|
Grupa: Zarejestrowani Postów: 602 Pomógł: 0 Dołączył: -- Skąd: W - WA -> GRO Ostrzeżenie: (0%)
|
addslashes() (IMG:http://forum.php.pl/style_emoticons/default/questionmark.gif)
|
|
|
|
|
Post
#5
|
|
|
Grupa: Zarejestrowani Postów: 79 Pomógł: 0 Dołączył: 30.06.2003 Skąd: Chełm Ostrzeżenie: (0%)
|
[manual:7c73756ae3]mysql_escape_string[/manual:7c73756ae3] (IMG:http://forum.php.pl/style_emoticons/default/questionmark.gif)
|
|
|
|
|
Post
#6
|
|
|
Grupa: Zarejestrowani Postów: 36 Pomógł: 0 Dołączył: 9.11.2003 Ostrzeżenie: (0%)
|
Chyba wlasnie o [manual:4cb6d82463]mysql_escape_string[/manual:4cb6d82463] mi chodzilo:)
Dzieki! |
|
|
|
 |
|
Aktualny czas: 23.08.2025 - 17:04 |
