Zabezpieczenie zapytanie bez dostępu do globalnych Opcje

[daniel1302]

Gdy musze zabezpieczyć skrypt a niemam dostępu do globalnych
mogę to jakoś zrobić bo pisze sterownik do obsługi bazy danych(już mam)
i

[PHP] pobierz, plaintext 
<?php
$query="UPDATE players SET profil='".$_POST['profil']."' WHERE id=.$player->id";
mysql_query($query);
?>
[PHP] pobierz, plaintext 

jak to zabezpieczyć

Dziękuje

Ten post edytował daniel1302 5.01.2008, 07:44:52

[Strzałek]

Sprawdzić co jest w $_POST, ale to nie ma prawa działać :| Nie wiem co dokładnie chcesz zrobić, bo tutaj wygląda że do kolumny profil chcesz wrzucić całą globalną tablicę z post'em.

A sprawdzanie? Recepta jest prosta. Profil? Wyczyść dziwne znaki, użyj do tego funkcji do maniupulacji stringami. Id? Wiadomo liczba i wszystko jasne. Więc player->id musi być int'em i tyle. Całe zabezpieczanie

[daniel1302]

Ale mam sterownik do obsługi mysql i w nim musze zabezpieczyć a cały post to pomyłka chce abym nie musiał w skrypcie tylko zabezpieczało samo podczas wykonywania zapytania

[Strzałek]

chce abym nie musiał w skrypcie tylko zabezpieczało samo podczas wykonywania zapytania

Kompletnie nie rozumiem :| Jedyne co mi przychodzi jeżeli koniecznie chcesz robić to po stronie bazy danych to napisać jakąś funkcję czyszczącą w SQL'u.

A skoro masz sterownik to daj w nim sobie jakąś metodę prywatną do przeprasowania tego co dostajesz. Żeby wywaliła śmieci i nie potrzebne rzeczy i wykonaj zapytanie.

Do końca nadal nie rozumiem o co chodzi.

[daniel1302]

OK napisze co mam i co muszę
1. Mam klasę do mysqla(sterownik)
2. Mam zapytanie ($query = "UPDATE players SET pfofil='".$_POST['profil']."' WHERE id=".$player->id)
3. Nie mogę odwołać się do $_POST['profil']
4. Musze zabezpieczyć zapytanie, jak użyje funkcji addslashes to zapytanie zwróci błędy ponieważ w niektórych momentach apostrofy są konieczne.
5. I czy jak zabezpieczę to zapytanie to czy skrypt bedzie bezpieczny? np PDO tak ma


Jak to zrobić(zabezpieczyc)

Ten post edytował daniel1302 5.01.2008, 13:53:34