Witaj Gościu! ( Zaloguj | Rejestruj )

Forum PHP.pl

> [PHP]&[MySQL] - Zapytanie z $_GET, Kwestia bezpieczeństwa
-Wieviór-
post
Post #1





Goście







Powiedzmy, że mam stronę www.strona.pl/pokazuzytkownika.php?id=7645

Jego dane wyczytuję z bazy poprzez zapytanie z WHERE id = $_GET[id]. Wszystko ładnie, tylko pozostaje kwestia bezpieczeństwa, bo przecież w tego $_GET'a sporo można sobie wpisać, UNION jakiś czy coś.

Czytałem na stronie głównej artykuł o tym i powoli usuwam luki z zabezpieczeniach:

  1. <?php
  2. $striped = strip_tags ($_POST[id]);
  3. $gotowy = mysql_real_escape_string ($striped);
  4. $sql = "SELECT * FROM uzytkownicy WHERE id = '".$gotowy."'";
  5. ?>


Czy to wystarczy, i czy w ogóle dobrze robię?

Ten post edytował Wieviór 23.09.2007, 12:13:30
Go to the top of the page
+Quote Post
 
Start new topic
Odpowiedzi
batman
post
Post #2





Grupa: Moderatorzy
Postów: 2 921
Pomógł: 269
Dołączył: 11.08.2005
Skąd: 127.0.0.1




Tak, takie coś powinno wystarczyć, jednak pamiętaj, że skoro potrzebujesz id, to nie baw się w usuwanie tagów, itp, lecz od razu przejdź do rzeczy. Możesz sprawdzić przy pomocy is_numeric, czy zmienna jest liczbą lub zrzutowac przy pomocy (int).

  1. <?php
  2. // przyklad 1
  3. if(is_numeric($_GET['id'])) {
  4. // select ...
  5. }
  6.  
  7. // przyklad 2
  8. $sql = 'select * from tabela where id = '.(int)$_GET['id'];
  9. ?>
Go to the top of the page
+Quote Post

Posty w temacie


Reply to this topicStart new topic
2 Użytkowników czyta ten temat (2 Gości i 0 Anonimowych użytkowników)
0 Zarejestrowanych:

 



RSS Aktualny czas: 7.10.2025 - 04:39