Problem z kombinacją zmiennej.

Problem z kombinacją zmiennej.

w0jt3k Zobacz profil	30.09.2013, 20:07:35 Post #1
Grupa: Zarejestrowani Postów: 27 Pomógł: 0 Dołączył: 29.09.2013 Ostrzeżenie: (0%)	Czy taka kombinacja zmiennej jest poprawna i zostanie zinterpretowana przez serwer poprawnie? Głównie chodzi o ochronę przed SQLInjection. [PHP] pobierz, plaintext $nazwa_uz = addslashes((string)trim($_POST['nazwa_uz'])); [PHP] pobierz, plaintext Czy może powinno to wyglądać tak? [PHP] pobierz, plaintext if(!get_magic_quotes_gpc()){ $nazwa_uz = addslashes($nazwa_uz); } $nazwa_uz = (string)$_POST['nazwa_uz']; $nazwa_uz = trim($_POST['nazwa_uz']); [PHP] pobierz, plaintext Albo jeszcze inaczej wymyśliłem: [PHP] pobierz, plaintext if(!get_magic_quotes_gpc()){ $nazwa_uz = addslashes($_POST['nazwa_uz']); $nazwa_uz = addslashes($nazwa_uz); $nazwa_uz = (string)$_POST['nazwa_uz']; $nazwa_uz = (string)$nazwa_uz; $nazwa_uz = trim($_POST['nazwa_uz']); $nazwa_uz = trim($nazwa_uz); } else { $nazwa_uz = (string)$_POST['nazwa_uz']; $nazwa_uz = trim($_POST['nazwa_uz']); $nazwa_uz = trim($nazwa_uz); } [PHP] pobierz, plaintext Czy to jest poprawne? Ten post edytował w0jt3k 30.09.2013, 20:43:45

Odpowiedzi

nospor Zobacz profil	18.10.2013, 08:35:55 Post #2
Grupa: Moderatorzy Postów: 36 561 Pomógł: 6315 Dołączył: 27.12.2004	Cytat Zrezygnowałem z PDO, bo mnie dosłownie wkur... to, ze nie ma zaimplementowanych wielu funkcji z Mysqli. Sam sobie robisz krzywde, tylko dlatego ze przywykles do dwoch czy trzech funkcji, ktorych odpowiednikow nie potrafisz znalezc.... Cytat Niby kolega wyżej mówił, że addslashes nie potrzeba, przy int, no, ale... na wszelki wypadek: A do szkoly/pracy tez chodzisz z pontonem na wszelki wypadek powodzi? (IMG:style_emoticons/default/wink.gif) Int to int, wystarczy ze zrobisz: $zm = (int)$zm; i juz. Z twojego kodu wynika, ze haslo i email to inty? Ktos z nas czegos tu nie rozumie (IMG:style_emoticons/default/wink.gif) Z twojego kodu wynika rowniez, ze dane zaczynasz zabezpieczac juz dawno po tym jak wykonales zapytanie, ktore korzysta z tych danych.... Nie sadzisz ze to odrobine za pozno? Cytat I jeszcze jedno pytanie. Jak zabezpieczyć pusty VALUE id_uz A co ty tu chcesz zabezpieczac? Przeciez to ty wkladasz te wartosc. Jak bedziesz sam w kodzie wstawial wartosc 2, to tez bedziesz chcial ja zabezpieczac? Znowu na wszelki wypadek? (IMG:style_emoticons/default/wink.gif) Poza tym dobrą praktyką jest wstawianie NULL a nie '' No i czemu po real_escape_string robisz znowu addslashes?? Przeciez podwojnie zaczynasz slashowac wszystko..... Naprawde, im wiecej, nieznaczy lepiej... W tym wypadku znaczy gorzej.

Posty w temacie

w0jt3k Problem z kombinacją zmiennej. 30.09.2013, 20:07:35

SmokAnalog Nie, to nie jest poprawne. addslashes nie uchroni ... 30.09.2013, 21:13:57

w0jt3k Ta funkcja wystarczy? + rzutowanie int. 3.10.2013, 15:25:25

em1X Używaj PDO zamiast się takimi przyziemnymi rzeczam... 3.10.2013, 17:27:29

w0jt3k No, dobrze.Używam już PDO. Ale czy używając tej bi... 3.10.2013, 17:59:24

em1X Zabezpieczy pod warunkiem, że z niego faktycznie k... 3.10.2013, 18:17:52

w0jt3k Zrezygnowałem z PDO, bo mnie dosłownie wkur... to,... 16.10.2013, 15:27:27

nospor CytatZrezygnowałem z PDO, bo mnie dosłownie wkur..... 18.10.2013, 08:35:55

w0jt3k No, nie rozumiem. I prosiłbym o szersze wyjaśnieni... 18.10.2013, 21:35:19

em1X Nie trzeba zakładać 50 kondomów, jeden wystarczy. ... 18.10.2013, 23:59:37

w0jt3k Np. num_rows. 19.10.2013, 15:50:36

em1X http://php.net/manual/en/pdostatement.rowcount.php 19.10.2013, 17:44:27

nospor CytatNo, nie rozumiem. I prosiłbym o szersze wyjaś... 20.10.2013, 15:19:36

2 Użytkowników czyta ten temat (2 Gości i 0 Anonimowych użytkowników)

0 Zarejestrowanych:

Tryb wyświetlania: Przełącz na: Standardowy · Przełącz na: Linearny+ · Drzewo

Aktualny czas: 29.12.2025 - 21:11

Hosting zapewnia

Forum PHP.pl