Witaj Gościu! ( Zaloguj | Rejestruj )

Forum PHP.pl

> Problem z kombinacją zmiennej.
w0jt3k
post
Post #1





Grupa: Zarejestrowani
Postów: 27
Pomógł: 0
Dołączył: 29.09.2013

Ostrzeżenie: (0%)
-----

Czy taka kombinacja zmiennej jest poprawna i zostanie zinterpretowana przez serwer poprawnie? Głównie chodzi o ochronę przed SQLInjection.

[PHP] pobierz, plaintext 
  1. $nazwa_uz = addslashes((string)trim($_POST['nazwa_uz']));
[PHP] pobierz, plaintext


Czy może powinno to wyglądać tak?
[PHP] pobierz, plaintext 
  1. if(!get_magic_quotes_gpc()){
  2. 	$nazwa_uz = addslashes($nazwa_uz);
  3. }
  4. $nazwa_uz = (string)$_POST['nazwa_uz'];
  5. $nazwa_uz = trim($_POST['nazwa_uz']);
[PHP] pobierz, plaintext


Albo jeszcze inaczej wymyśliłem:
[PHP] pobierz, plaintext 
  1. if(!get_magic_quotes_gpc()){
  2. 	$nazwa_uz = addslashes($_POST['nazwa_uz']);
  3. 	$nazwa_uz = addslashes($nazwa_uz);
  4. 	$nazwa_uz = (string)$_POST['nazwa_uz'];
  5. 	$nazwa_uz = (string)$nazwa_uz;
  6. 	$nazwa_uz = trim($_POST['nazwa_uz']);
  7. 	$nazwa_uz = trim($nazwa_uz);
  8. }
  9. else
  10. {
  11. 	$nazwa_uz = (string)$_POST['nazwa_uz'];
  12. 	$nazwa_uz = trim($_POST['nazwa_uz']);
  13. 	$nazwa_uz = trim($nazwa_uz);
  14. }
[PHP] pobierz, plaintext


Czy to jest poprawne?

Ten post edytował w0jt3k 30.09.2013, 20:43:45
Go to the top of the page
+Quote Post
 
 Start new topic
Odpowiedzi
em1X
post
Post #2





Grupa: Zarejestrowani
Postów: 984
Pomógł: 41
Dołączył: 16.03.2002
Skąd: Płock

Ostrzeżenie: (0%)
-----

Nie trzeba zakładać 50 kondomów, jeden wystarczy.
[PHP] pobierz, plaintext 
  1. $id=(int)$_GET['id'];
[PHP] pobierz, plaintext

zostanie zawsze na liczbę zamieniony, co by w tym nie było. Jaśniej chyba nie można? Nie trzeba (do liczb) więcej "zabezpieczeń" jak to nazwałeś.
Do zmiennych zawierających tekst użyj tylko htmlspecialchars, więcej też Ci nie potrzeba.

Powinieneś PDO używać, nie potrafisz i twierdzisz, że Cię denerwuje. Jakich funkcji Ci brakuje?
Go to the top of the page
+Quote Post

Posty w temacie
- w0jt3k   Problem z kombinacją zmiennej.   30.09.2013, 20:07:35
- - SmokAnalog   Nie, to nie jest poprawne. addslashes nie uchroni ...   30.09.2013, 21:13:57
- - w0jt3k   Ta funkcja wystarczy? + rzutowanie int.   3.10.2013, 15:25:25
- - em1X   Używaj PDO zamiast się takimi przyziemnymi rzeczam...   3.10.2013, 17:27:29
- - w0jt3k   No, dobrze.Używam już PDO. Ale czy używając tej bi...   3.10.2013, 17:59:24
- - em1X   Zabezpieczy pod warunkiem, że z niego faktycznie k...   3.10.2013, 18:17:52
- - w0jt3k   Zrezygnowałem z PDO, bo mnie dosłownie wkur... to,...   16.10.2013, 15:27:27
- - nospor   CytatZrezygnowałem z PDO, bo mnie dosłownie wkur.....   18.10.2013, 08:35:55
- - w0jt3k   No, nie rozumiem. I prosiłbym o szersze wyjaśnieni...   18.10.2013, 21:35:19
- - em1X   Nie trzeba zakładać 50 kondomów, jeden wystarczy. ...   18.10.2013, 23:59:37
- - w0jt3k   Np. num_rows.   19.10.2013, 15:50:36
- - em1X   http://php.net/manual/en/pdostatement.rowcount.php   19.10.2013, 17:44:27
- - nospor   CytatNo, nie rozumiem. I prosiłbym o szersze wyjaś...   20.10.2013, 15:19:36

« Następny starszy · PHP · Następny nowszy »
 

Reply to this topicStart new topic
2 Użytkowników czyta ten temat (2 Gości i 0 Anonimowych użytkowników)
0 Zarejestrowanych:

 

Tryb wyświetlania: Przełącz na: Standardowy · Przełącz na: Linearny+ · Drzewo

Śledź ten temat · Wyślij temat na e-mail · Wydrukuj ten temat · Subskrybuj to forum

RSS Aktualny czas: 27.12.2025 - 08:13
Powered By IP.Board © 2025  IPS, Inc.
All changes by PHP.pl Administrators
Hosting zapewnia NQ.pl hosting, trac, svn