Witaj Gościu! ( Zaloguj | Rejestruj )

Forum PHP.pl

> [PHP]Zabezpieczenie GET + INSERT ?
d.stp
post
Post #1





Grupa: Zarejestrowani
Postów: 358
Pomógł: 0
Dołączył: 19.04.2012

Ostrzeżenie: (0%)
-----


Pobieram z adresu URL kilka parametrów, a później dodaje rekord do bazy, np.:


  1. $x = $_GET['x'];
  2. $y = $_GET['y'];


zapytanie wygląda tak:

  1. insert into tabela values ('$x', '$y');


I teraz można dokleić do tego jakieś zapytanie gdyby ktoś poznał link do tego skryptu? Bo sql injection to chyba odpada bo nie działa przy insert? Czy mysql_real_escape_string w zupełności wystarczy?

Powiem szczerze że już od dłuższego czasu mam wiekszą stronkę online a dopiero teraz przez przypadek to znalazłem i zastanawiam się czy jest bezpiecznie (IMG:style_emoticons/default/biggrin.gif) próbuje sam siebie zaatakować (IMG:style_emoticons/default/wink.gif)
Go to the top of the page
+Quote Post
 
Start new topic
Odpowiedzi
borabora
post
Post #2





Grupa: Zarejestrowani
Postów: 116
Pomógł: 33
Dołączył: 8.09.2014

Ostrzeżenie: (0%)
-----


jeżeli są to współrzędne opisywane liczbowo, to możesz srawdzać, czy w gecie podawana jest liczba
  1. is_numeric($_GET['x'])

zwraca true lub false
albo
  1. $x = (int) $_GET['x'];/*jezeli to nie jest liczba to return 0*/
  2. $y = (int) $_GET['y'];
  3. if ($x > 0 AND $y>0) {
  4. //zapytanie
  5. }


Ten post edytował borabora 15.10.2014, 17:51:45
Go to the top of the page
+Quote Post

Posty w temacie


Reply to this topicStart new topic
2 Użytkowników czyta ten temat (2 Gości i 0 Anonimowych użytkowników)
0 Zarejestrowanych:

 



RSS Aktualny czas: 16.10.2025 - 10:06