[PHP][PDO] Czy potrzeba zabezpieczać zmienne, od użytkownika ?.

[PHP][PDO] Czy potrzeba zabezpieczać zmienne, od użytkownika ?.

Giluś Zobacz profil	6.02.2013, 09:38:50 Post #1
Grupa: Zarejestrowani Postów: 377 Pomógł: 9 Dołączył: 2.11.2010 Ostrzeżenie: (0%)	Cześć, mam taki kod: [PHP] pobierz, plaintext if(isset($_POST['username'])) { $username = mysql_real_escape_string($_POST['username']); $zajety = $pdo -> prepare('SELECT id FROM `users` WHERE `login` = :login'); $zajety -> bindValue(':login', $username, PDO::PARAM_STR); $zajety -> execute(); $count = $zajety->rowCount(); if($count > 0) {echo 'OK';} else { $lang = (empty($_SESSION['lang'])) ? 'pl' : $_SESSION['lang']; require('./Joker/language/'.$lang.'/logowanie.inc.php'); $tpl = new \Joker\Tpl\Engine('./templates/'); $view = $tpl->createView('logowanie_spr'); $view->username = $username; $view->logowanie = $logowanie; $view->render(); } $zajety -> closeCursor(); } [PHP] pobierz, plaintext I gdy go odpalam na localhost z PHP: 5.4.10 to działa normalnie, natomiast gdy go odpalę na serwerze gdzie jest PHP: 5.3.15 to jest błąd który znika jak usunę funkcję: mysql_real_escape_string();, ale czym zastąpić tą funkcję która zabezpieczała mi zmienne - A może PDO sam w sobie już posiada zabezpieczenie ?. Pozdrawiam i z góry bardzo dziękuje.

Odpowiedzi

Giluś Zobacz profil	6.02.2013, 10:35:06 Post #2
Grupa: Zarejestrowani Postów: 377 Pomógł: 9 Dołączył: 2.11.2010 Ostrzeżenie: (0%)	No tak na Localhoscie nie miałem uruchomionych błędów może dla tego... Zawsze przy odbieraniu danych od użytkownika sprawdzałem funkcją mysql_real_escape_string(); czy nie posiada jakiś dziwnych danych które mogą zaszkodzić mojej bazie (ataki sql injection itp) i dlatego gdy teraz przerzuciłem się na PDO to się zastanawiam czym zastąpić tą funkcję, ale widzę że praktycznie nic nie trzeba robić.. A co do walidacji czyli są jakieś znaki w zmiennej, czy też jest ona za krótka, długa to już inna funkcja która działa mi bardzo dobrze.. Pozdrawiam i z góry bardzo dziękuje za odpowiedz.

sowiq Zobacz profil	6.02.2013, 11:17:14 Post #3
Grupa: Zarejestrowani Postów: 1 890 Pomógł: 339 Dołączył: 14.12.2006 Skąd: Warszawa Ostrzeżenie: (0%)	Cytat(Giluś @ 6.02.2013, 10:35:06 ) Zawsze przy odbieraniu danych od użytkownika sprawdzałem funkcją mysql_real_escape_string(); czy nie posiada jakiś dziwnych danych Kolego, nie myl pojęć. Funkcja mysql_real_escape_string niczego nie sprawdza. Ona służy do "eskejpowania", czyli zabezpieczania przez dodawanie znaku ucieczki do potencjalnie niebezpiecznych znaków w ciągu. Ten post edytował sowiq 6.02.2013, 11:18:25

Posty w temacie

Giluś [PHP][PDO] Czy potrzeba zabezpieczać zmienne, od użytkownika ?. 6.02.2013, 09:38:50

nospor PDO robi to za ciebie.... mysql_real_escape_string... 6.02.2013, 09:41:24

Giluś Czyli wystarczy ustawiać tutaj: [PHP] pobierz, pl... 6.02.2013, 09:44:52

nospor No to musi być. To się nazywa bindowanie i dzieki ... 6.02.2013, 09:55:03

!*! Cytat(nospor @ 6.02.2013, 09:55:03 ) ... 6.02.2013, 10:10:37

nospor CytatNie szalej, bo jeszcze uwierzy Walidacja dan... 6.02.2013, 10:12:26

!*! Cytat[PHP][PDO] Czy potrzeba zabezpieczać zmienne,... 6.02.2013, 10:14:56

nospor Pamietam. Ale co ma piernik do wiatraka? Mówimy tu... 6.02.2013, 10:17:44

Giluś No tak na Localhoscie nie miałem uruchomionych błę... 6.02.2013, 10:35:06

sowiq Cytat(Giluś @ 6.02.2013, 10:35:06 ) Z... 6.02.2013, 11:17:14

2 Użytkowników czyta ten temat (2 Gości i 0 Anonimowych użytkowników)

0 Zarejestrowanych:

Tryb wyświetlania: Przełącz na: Standardowy · Przełącz na: Linearny+ · Drzewo

Aktualny czas: 10.10.2025 - 05:43

Hosting zapewnia

Forum PHP.pl