![]() |
![]() |
![]()
Post
#1
|
|
Grupa: Zarejestrowani Postów: 14 Pomógł: 0 Dołączył: 25.04.2007 Ostrzeżenie: (0%) ![]() ![]() |
Mam tabelkę o nazwie news a w nim:
id nazwa_kat_id data_utw tytul tekst Zrobiłem sobie taką prościutką wyszukiwarkę, która wyszukuje posty id, tytul i tekst a kod wygląda tak (wszystko w jednym pliku o nazwie wyszukiwarka.php):
I mam pytania z nim związane. 1. Czy wystarczy zabezpieczenie przed atakami tylko słowa $keyword poprzez stripslashes ? Jeśli nie to co można dodać ? Czy to wystarczy mysql_real_escape_string ? 2. Czy przy wyświetlaniu wyników id, tytul i tekst trzeba dodać stripslashes i strip_tags np. stripslashes($wiersz['tytul']) ? 3. Gdzie należy dopisać echo z informacją: - że pusta jest baza - że tego słowa nie ma w bazie - jeśli nie wpisałem słowa a kliknąłem w przycisk submit to ma pojawić się info, że nie podałem słowa kluczowego ? Nie jestem pewien czy w kodzie jest dobrze i w którym to miejscu. 4. Czy najlepsze jest tak pisać po wpisaniu słowa i kliknięciu w submit formularza ?
czy tak :
Co można jeszcze dodać do kodu lub zmienić ? Za pomoc dziekuje Ten post edytował Guli 3.10.2007, 17:30:59 |
|
|
![]() |
![]()
Post
#2
|
|
Grupa: Zarejestrowani Postów: 25 Pomógł: 0 Dołączył: 2.10.2007 Skąd: Wrocław Ostrzeżenie: (0%) ![]() ![]() |
$_REQUEST to tablica zbiorcza, stosuje się ją raczej w starych serwisach, które działają jeszcze na register_globals. Gdy ją stosujesz, to włamywacz ma szerokie pole do popisu. Można przejąć na przykład informacje z sesji i stać się adminem. Nie podam tu sposobów, aby nie ułatwiać zadanie domorosłym hakierom (IMG:http://forum.php.pl/style_emoticons/default/smile.gif) . Dlatego stosuj zawsze $_GET, $_POST, $_SESSION>
Jeśli musisz używać $_REQUEST, to znak, że musisz zmienić projekt strony. Co do tych błedów. Chodzi zablokowanie możliwości podejrzenia struktury tabeli, najlepiej stosowac error_reporting(0) i zabezpieczać się przed sql injection. Na przykład: stosuj @mysql_query() zamiast 'mysql_query(), wtedy w przypadku błednego zapytania SQL, w najgorszym razie, strona bedzie pusta. |
|
|
![]() ![]() |
![]() |
Aktualny czas: 11.10.2025 - 12:30 |