Problem z kombinacją zmiennej.

Problem z kombinacją zmiennej.

w0jt3k Zobacz profil	30.09.2013, 20:07:35 Post #1
Grupa: Zarejestrowani Postów: 27 Pomógł: 0 Dołączył: 29.09.2013 Ostrzeżenie: (0%)	Czy taka kombinacja zmiennej jest poprawna i zostanie zinterpretowana przez serwer poprawnie? Głównie chodzi o ochronę przed SQLInjection. [PHP] pobierz, plaintext $nazwa_uz = addslashes((string)trim($_POST['nazwa_uz'])); [PHP] pobierz, plaintext Czy może powinno to wyglądać tak? [PHP] pobierz, plaintext if(!get_magic_quotes_gpc()){ $nazwa_uz = addslashes($nazwa_uz); } $nazwa_uz = (string)$_POST['nazwa_uz']; $nazwa_uz = trim($_POST['nazwa_uz']); [PHP] pobierz, plaintext Albo jeszcze inaczej wymyśliłem: [PHP] pobierz, plaintext if(!get_magic_quotes_gpc()){ $nazwa_uz = addslashes($_POST['nazwa_uz']); $nazwa_uz = addslashes($nazwa_uz); $nazwa_uz = (string)$_POST['nazwa_uz']; $nazwa_uz = (string)$nazwa_uz; $nazwa_uz = trim($_POST['nazwa_uz']); $nazwa_uz = trim($nazwa_uz); } else { $nazwa_uz = (string)$_POST['nazwa_uz']; $nazwa_uz = trim($_POST['nazwa_uz']); $nazwa_uz = trim($nazwa_uz); } [PHP] pobierz, plaintext Czy to jest poprawne? Ten post edytował w0jt3k 30.09.2013, 20:43:45

Odpowiedzi

w0jt3k Zobacz profil	16.10.2013, 15:27:27 Post #2
Grupa: Zarejestrowani Postów: 27 Pomógł: 0 Dołączył: 29.09.2013 Ostrzeżenie: (0%)	Zrezygnowałem z PDO, bo mnie dosłownie wkur... to, ze nie ma zaimplementowanych wielu funkcji z Mysqli. Czy taki kod jest dobrze zabezpieczony? Niby kolega wyżej mówił, że addslashes nie potrzeba, przy int, no, ale... na wszelki wypadek: [PHP] pobierz, plaintext $wynik = $lacz->query("select * from uzytkownicy where email='". $nazwa_uz_l ."' and haslo = '". $haslo_l ."' "); $nazwa_uz_l = $lacz->real_escape_string($nazwa_uz_l); $nazwa_uz_l = addcslashes($nazwa_uz_l, '%_'); $nazwa_uz_l = addslashes($nazwa_uz_l); $nazwa_uz_l = (int)$nazwa_uz_l; $haslo_l = $lacz->real_escape_string($haslo_l); $haslo_l = addcslashes($haslo_l, '%_'); $haslo_l = addslashes($haslo_l); $haslo_l = (int)$haslo_l; [PHP] pobierz, plaintext Nie czepiać się kodowania md5/sha przy haśle (IMG:style_emoticons/default/tongue.gif) To dla testu kod. (IMG:style_emoticons/default/smile.gif) I jeszcze jedno pytanie. Jak zabezpieczyć pusty VALUE id_uz [PHP] pobierz, plaintext VALUES ('' [PHP] pobierz, plaintext w: [PHP] pobierz, plaintext $wynik = $lacz->query("INSERT INTO uzytkownicy (id_uz, haslo, email, pytanie_pomoc) VALUES ('','".$haslo."', '".$email."', '".$pytanie_pomoc."') "); [PHP] pobierz, plaintext Wiersz w bazie w tym miejscu mam unsigned auto increment primary key int wiec wiecie dlaczego puste. Ten post edytował w0jt3k 16.10.2013, 15:36:31

Posty w temacie

w0jt3k Problem z kombinacją zmiennej. 30.09.2013, 20:07:35

SmokAnalog Nie, to nie jest poprawne. addslashes nie uchroni ... 30.09.2013, 21:13:57

w0jt3k Ta funkcja wystarczy? + rzutowanie int. 3.10.2013, 15:25:25

em1X Używaj PDO zamiast się takimi przyziemnymi rzeczam... 3.10.2013, 17:27:29

w0jt3k No, dobrze.Używam już PDO. Ale czy używając tej bi... 3.10.2013, 17:59:24

em1X Zabezpieczy pod warunkiem, że z niego faktycznie k... 3.10.2013, 18:17:52

w0jt3k Zrezygnowałem z PDO, bo mnie dosłownie wkur... to,... 16.10.2013, 15:27:27

nospor CytatZrezygnowałem z PDO, bo mnie dosłownie wkur..... 18.10.2013, 08:35:55

w0jt3k No, nie rozumiem. I prosiłbym o szersze wyjaśnieni... 18.10.2013, 21:35:19

em1X Nie trzeba zakładać 50 kondomów, jeden wystarczy. ... 18.10.2013, 23:59:37

w0jt3k Np. num_rows. 19.10.2013, 15:50:36

em1X http://php.net/manual/en/pdostatement.rowcount.php 19.10.2013, 17:44:27

nospor CytatNo, nie rozumiem. I prosiłbym o szersze wyjaś... 20.10.2013, 15:19:36

2 Użytkowników czyta ten temat (2 Gości i 0 Anonimowych użytkowników)

0 Zarejestrowanych:

Tryb wyświetlania: Przełącz na: Standardowy · Przełącz na: Linearny+ · Drzewo

Aktualny czas: 29.12.2025 - 11:08

Hosting zapewnia

Forum PHP.pl