Witaj Gościu! ( Zaloguj | Rejestruj )

Forum PHP.pl

> [PHP]Zabezpieczenie GET + INSERT ?
d.stp
post
Post #1





Grupa: Zarejestrowani
Postów: 358
Pomógł: 0
Dołączył: 19.04.2012

Ostrzeżenie: (0%)
-----

Pobieram z adresu URL kilka parametrów, a później dodaje rekord do bazy, np.:


[PHP] pobierz, plaintext 
  1. $x = $_GET['x'];
  2. $y = $_GET['y'];
[PHP] pobierz, plaintext


zapytanie wygląda tak:

[PHP] pobierz, plaintext 
  1. insert into tabela values ('$x', '$y');
[PHP] pobierz, plaintext


I teraz można dokleić do tego jakieś zapytanie gdyby ktoś poznał link do tego skryptu? Bo sql injection to chyba odpada bo nie działa przy insert? Czy mysql_real_escape_string w zupełności wystarczy?

Powiem szczerze że już od dłuższego czasu mam wiekszą stronkę online a dopiero teraz przez przypadek to znalazłem i zastanawiam się czy jest bezpiecznie (IMG:style_emoticons/default/biggrin.gif) próbuje sam siebie zaatakować (IMG:style_emoticons/default/wink.gif)
Go to the top of the page
+Quote Post
 
 Start new topic
Odpowiedzi
b4rt3kk
post
Post #2





Grupa: Zarejestrowani
Postów: 1 933
Pomógł: 460
Dołączył: 2.04.2010
Skąd: Lublin

Ostrzeżenie: (0%)
-----

Nie, nie jest bezpiecznie. Nie ma znaczenia czy robisz insert, update czy delete.

Jak już koniecznie chcesz ściągać parametry z get-a do zapytania to pozbądź się wszystkich znaków nie alfanumerycznych. Np. wyrażeniem regularnym.

[PHP] pobierz, plaintext 
  1. $pattern = '#([^0-9a-zA-Z]*)#';
  2. $param = preg_replace($pattern, $_GET['param']);
[PHP] pobierz, plaintext


PS. podaj linka do tej stronki. Też bym popróbował.

Ten post edytował b4rt3kk 15.10.2014, 17:33:23
Go to the top of the page
+Quote Post

Posty w temacie
- d.stp   [PHP]Zabezpieczenie GET + INSERT ?   15.10.2014, 17:15:23
- - slash^   Zainteresuj się terminem bindowania w PDO.   15.10.2014, 17:21:27
- - d.stp   nie chce pdo ani nic podobnego, chce po prostu poz...   15.10.2014, 17:24:26
- - b4rt3kk   Nie, nie jest bezpiecznie. Nie ma znaczenia czy ro...   15.10.2014, 17:32:26
- - borabora   jeżeli są to współrzędne opisywane liczbowo, to mo...   15.10.2014, 17:41:53

« Następny starszy · Przedszkole · Następny nowszy »
 

Reply to this topicStart new topic
1 Użytkowników czyta ten temat (1 Gości i 0 Anonimowych użytkowników)
0 Zarejestrowanych:

 

Tryb wyświetlania: Przełącz na: Standardowy · Przełącz na: Linearny+ · Drzewo

Śledź ten temat · Wyślij temat na e-mail · Wydrukuj ten temat · Subskrybuj to forum

RSS Aktualny czas: 14.10.2025 - 15:54
Powered By IP.Board © 2025  IPS, Inc.
All changes by PHP.pl Administrators
Hosting zapewnia NQ.pl hosting, trac, svn