[PHP]&[MySQL] - Zapytanie z $_GET

[PHP]&[MySQL] - Zapytanie z $_GET, Kwestia bezpieczeństwa

-Wieviór-	23.09.2007, 10:19:38 Post #1
Goście	Powiedzmy, że mam stronę www.strona.pl/pokazuzytkownika.php?id=7645 Jego dane wyczytuję z bazy poprzez zapytanie z WHERE id = $_GET[id]. Wszystko ładnie, tylko pozostaje kwestia bezpieczeństwa, bo przecież w tego $_GET'a sporo można sobie wpisać, UNION jakiś czy coś. Czytałem na stronie głównej artykuł o tym i powoli usuwam luki z zabezpieczeniach: [PHP] pobierz, plaintext <?php $striped = strip_tags ($_POST[id]); $gotowy = mysql_real_escape_string ($striped); $sql = "SELECT * FROM uzytkownicy WHERE id = '".$gotowy."'"; ?> [PHP] pobierz, plaintext Czy to wystarczy, i czy w ogóle dobrze robię? Ten post edytował Wieviór 23.09.2007, 12:13:30

Odpowiedzi

batman Zobacz profil	23.09.2007, 18:40:31 Post #2
Grupa: Moderatorzy Postów: 2 921 Pomógł: 269 Dołączył: 11.08.2005 Skąd: 127.0.0.1	Jeśli pobierasz dane od użytkownika, które przesyłasz do bazy danych trzeba: 1. strip_tags. 2. Czasem dla pewności można użyć htmlentities. 3. Użyć funkcji escape_string. Dobrym zwyczajem jest ograniczyć długość ciągu, jaki jest podawany przez użytkownika. Najpierw w JS sprawdzić długość, następnie po stronie serwera.

Posty w temacie

Wieviór [PHP]&[MySQL] - Zapytanie z $_GET 23.09.2007, 10:19:38

kris2 według mnie to wystarczy 23.09.2007, 10:25:16

Cysiaczek @Wieviór - no nie jesteś nowy na forum...! Pop... 23.09.2007, 10:46:43

batman Tak, takie coś powinno wystarczyć, jednak pamiętaj... 23.09.2007, 11:03:31

Wieviór @Cysiaczek: Słusznie szefie, już poprawiam ;] @ba... 23.09.2007, 12:12:56

batman Jeśli pobierasz dane od użytkownika, które przesył... 23.09.2007, 18:40:31

2 Użytkowników czyta ten temat (2 Gości i 0 Anonimowych użytkowników)

0 Zarejestrowanych:

Tryb wyświetlania: Przełącz na: Standardowy · Przełącz na: Linearny+ · Drzewo

Aktualny czas: 4.10.2025 - 05:32

Hosting zapewnia

Forum PHP.pl