Witaj Gościu! ( Zaloguj | Rejestruj )

Forum PHP.pl

> Problem z kombinacją zmiennej.
w0jt3k
post
Post #1





Grupa: Zarejestrowani
Postów: 27
Pomógł: 0
Dołączył: 29.09.2013

Ostrzeżenie: (0%)
-----

Czy taka kombinacja zmiennej jest poprawna i zostanie zinterpretowana przez serwer poprawnie? Głównie chodzi o ochronę przed SQLInjection.

[PHP] pobierz, plaintext 
  1. $nazwa_uz = addslashes((string)trim($_POST['nazwa_uz']));
[PHP] pobierz, plaintext


Czy może powinno to wyglądać tak?
[PHP] pobierz, plaintext 
  1. if(!get_magic_quotes_gpc()){
  2. 	$nazwa_uz = addslashes($nazwa_uz);
  3. }
  4. $nazwa_uz = (string)$_POST['nazwa_uz'];
  5. $nazwa_uz = trim($_POST['nazwa_uz']);
[PHP] pobierz, plaintext


Albo jeszcze inaczej wymyśliłem:
[PHP] pobierz, plaintext 
  1. if(!get_magic_quotes_gpc()){
  2. 	$nazwa_uz = addslashes($_POST['nazwa_uz']);
  3. 	$nazwa_uz = addslashes($nazwa_uz);
  4. 	$nazwa_uz = (string)$_POST['nazwa_uz'];
  5. 	$nazwa_uz = (string)$nazwa_uz;
  6. 	$nazwa_uz = trim($_POST['nazwa_uz']);
  7. 	$nazwa_uz = trim($nazwa_uz);
  8. }
  9. else
  10. {
  11. 	$nazwa_uz = (string)$_POST['nazwa_uz'];
  12. 	$nazwa_uz = trim($_POST['nazwa_uz']);
  13. 	$nazwa_uz = trim($nazwa_uz);
  14. }
[PHP] pobierz, plaintext


Czy to jest poprawne?

Ten post edytował w0jt3k 30.09.2013, 20:43:45
Go to the top of the page
+Quote Post
 
 Start new topic
Odpowiedzi
w0jt3k
post
Post #2





Grupa: Zarejestrowani
Postów: 27
Pomógł: 0
Dołączył: 29.09.2013

Ostrzeżenie: (0%)
-----

No, nie rozumiem. I prosiłbym o szersze wyjaśnienia. Swoją drogą bardzo sięuśmiałem, czytając Twoją opinię (IMG:style_emoticons/default/biggrin.gif) Dzięki za mniej więcej uświadomienie mi błędu.
Mógłby ktoś wyjaśnić mi, jak się więc zabezpieczyć dokładnie? Dam real escape i addcslashes %_ bo real escape nie escapuje %_ i inta przed, tak?

Pozdrawiam, jestem nowy w php.
A i nie mogę znaleźć żadnej książki na temat obrony przed SQL injection, ani po rosyjsku, angielsku, niemeicku, no i polsku... W manualu niby cos tam mam o XSS i inject. o escapach i intach i addcslashach i htmlentitles czy tej drugiej funkcji, no ale i tak nikt tego do kupy nie pozbierał i nie wyjaśnił na konkretnych przykładach.
Go to the top of the page
+Quote Post

Posty w temacie
- w0jt3k   Problem z kombinacją zmiennej.   30.09.2013, 20:07:35
- - SmokAnalog   Nie, to nie jest poprawne. addslashes nie uchroni ...   30.09.2013, 21:13:57
- - w0jt3k   Ta funkcja wystarczy? + rzutowanie int.   3.10.2013, 15:25:25
- - em1X   Używaj PDO zamiast się takimi przyziemnymi rzeczam...   3.10.2013, 17:27:29
- - w0jt3k   No, dobrze.Używam już PDO. Ale czy używając tej bi...   3.10.2013, 17:59:24
- - em1X   Zabezpieczy pod warunkiem, że z niego faktycznie k...   3.10.2013, 18:17:52
- - w0jt3k   Zrezygnowałem z PDO, bo mnie dosłownie wkur... to,...   16.10.2013, 15:27:27
- - nospor   CytatZrezygnowałem z PDO, bo mnie dosłownie wkur.....   18.10.2013, 08:35:55
- - w0jt3k   No, nie rozumiem. I prosiłbym o szersze wyjaśnieni...   18.10.2013, 21:35:19
- - em1X   Nie trzeba zakładać 50 kondomów, jeden wystarczy. ...   18.10.2013, 23:59:37
- - w0jt3k   Np. num_rows.   19.10.2013, 15:50:36
- - em1X   http://php.net/manual/en/pdostatement.rowcount.php   19.10.2013, 17:44:27
- - nospor   CytatNo, nie rozumiem. I prosiłbym o szersze wyjaś...   20.10.2013, 15:19:36

« Następny starszy · PHP · Następny nowszy »
 

Reply to this topicStart new topic
2 Użytkowników czyta ten temat (2 Gości i 0 Anonimowych użytkowników)
0 Zarejestrowanych:

 

Tryb wyświetlania: Przełącz na: Standardowy · Przełącz na: Linearny+ · Drzewo

Śledź ten temat · Wyślij temat na e-mail · Wydrukuj ten temat · Subskrybuj to forum

RSS Aktualny czas: 24.12.2025 - 14:13
Powered By IP.Board © 2025  IPS, Inc.
All changes by PHP.pl Administrators
Hosting zapewnia NQ.pl hosting, trac, svn