[PHP]Zabezpieczenie GET + INSERT ? Opcje

[d.stp]

Pobieram z adresu URL kilka parametrów, a później dodaje rekord do bazy, np.:

[PHP] pobierz, plaintext 
$x = $_GET['x'];
$y = $_GET['y'];
[PHP] pobierz, plaintext 

zapytanie wygląda tak:

[PHP] pobierz, plaintext 
insert into tabela values ('$x', '$y');
[PHP] pobierz, plaintext 

I teraz można dokleić do tego jakieś zapytanie gdyby ktoś poznał link do tego skryptu? Bo sql injection to chyba odpada bo nie działa przy insert? Czy mysql_real_escape_string w zupełności wystarczy?

Powiem szczerze że już od dłuższego czasu mam wiekszą stronkę online a dopiero teraz przez przypadek to znalazłem i zastanawiam się czy jest bezpiecznie (IMG:style_emoticons/default/biggrin.gif) próbuje sam siebie zaatakować (IMG:style_emoticons/default/wink.gif)

[slash^]

Zainteresuj się terminem bindowania w PDO.

[d.stp]

nie chce pdo ani nic podobnego, chce po prostu poznać odp na moje powyższe pytanie (IMG:style_emoticons/default/biggrin.gif)

[b4rt3kk]

Nie, nie jest bezpiecznie. Nie ma znaczenia czy robisz insert, update czy delete.

Jak już koniecznie chcesz ściągać parametry z get-a do zapytania to pozbądź się wszystkich znaków nie alfanumerycznych. Np. wyrażeniem regularnym.

[PHP] pobierz, plaintext 
$pattern = '#([^0-9a-zA-Z]*)#';
$param = preg_replace($pattern, $_GET['param']);
[PHP] pobierz, plaintext 

PS. podaj linka do tej stronki. Też bym popróbował.

Ten post edytował b4rt3kk 15.10.2014, 17:33:23

[borabora]

jeżeli są to współrzędne opisywane liczbowo, to możesz srawdzać, czy w gecie podawana jest liczba

[PHP] pobierz, plaintext 
is_numeric($_GET['x'])
[PHP] pobierz, plaintext 

zwraca true lub false
albo

[PHP] pobierz, plaintext 
$x = (int) $_GET['x'];/*jezeli to nie jest liczba to return 0*/
$y = (int) $_GET['y'];
if ($x > 0 AND $y>0) {
//zapytanie
}
[PHP] pobierz, plaintext 

Ten post edytował borabora 15.10.2014, 17:51:45