![]() |
![]() |
![]()
Post
#1
|
|
Grupa: Zarejestrowani Postów: 5 Pomógł: 0 Dołączył: 2.07.2014 Ostrzeżenie: (0%) ![]() ![]() |
Witam, jestem w trakcie tworzenia pierwszej strony która będzie odwiedzana przez większą ilość użytkowników. I tu się trochę obawiam o bezpieczeństwo dlatego wolę zapytać czy mój kod jest wystarczająco bezpieczny.
Na stronie będzie wiele formularzy. Każda zmienna z formularza jest filtrowana w ten sposób:
A do bazy danych dane przesyła się tak:
I tu pytanie czy to jest bezpieczny sposób? Myślałem jeszcze o zamienieniu znaku apostrof i cudzysłowia na encję by przy wyświetleniu zamieniało z powrotem na ten znak. W niektórych przypadkach nie mogę zabronić użytkownikom używania tych znaków ale wiem, że można ich użyć do ataku, więc czy zamiana ' i " na encję sprawi, że kod sql injection się nie wykona? Jeśli tak to: Zauważyłem, że funkcja htmlentities zamienia cudzysłów na encję (w bazie danych jest encja a w przeglądarce widać z powrotem cudzysłów) i to samo ze znakami >< jednak pozostał znak ' czyli apostrof i tu pytanie czy jest funkcja która zrobi to samo z tym znakiem czy muszę zamieniać znak na encję oraz przy wyjściu samodzielnie zamieniać encję na apostrof? |
|
|
![]() |
![]()
Post
#2
|
|
Grupa: Moderatorzy Postów: 36 559 Pomógł: 6315 Dołączył: 27.12.2004 ![]() |
Kod podanej przez Ciebie funkcji Clear() bardzo czesto sie przewija przez forum. Czy w necie jest jakis serwis: Kompedium błędnej wiedzy archaicznej , z ktorej to strony początkujacy ludzie czerpią wiedzę?
Cytat Myślałem jeszcze o zamienieniu znaku apostrof i cudzysłowia na encję by przy wyświetleniu zamieniało z powrotem na ten znak Poczytaj o atakach SQLInjection, jak się przed nimi bronic, to przestaniesz wypisywac takie dyrdymaly, jak zamiana apostrfow na encje.
|
|
|
![]() ![]() |
![]() |
Aktualny czas: 14.10.2025 - 21:31 |