 SQL Injection |
| SQL Injection |
Post
#1
|
|
|
Grupa: Zarejestrowani Postów: 26 Pomógł: 0 Dołączył: 6.09.2003 Ostrzeżenie: (0%) 
 |
Chcialbym sie dowiedziec jak najlepiej sie zabezpieczyc przed 'atakami' SQL Injection.
mam powiedzmy takie zapytanie do bazy mysql: [sql:1:d1814ccdee] select * from news WHERE nr = '$show' [/sql:1:d1814ccdee] I czy to wystarcza. Bo spotykalem sie z: Kod $show=intval($show);
select * from news WHERE nr = '$show' Dla mnie to jest niepotrzebne bo po 'testach' ktore przeprowadzilem moge powiedziec ze uzycje intval jest niepotrzebne bo w zapytaniu sql sa ' '. Wiec potrzebne czy niepotrzebne, a jak np. $show to ma byc tekst a nie liczba to czy wystarcza '' czy trzeba jeszcze robic addslashes() itp. |
 |
 
|
 |
|
Post
#2
|
|
|
Grupa: Zarejestrowani Postów: 384 Pomógł: 0 Dołączył: 3.04.2003 Skąd: Chorzow Ostrzeżenie: (0%)
|
np. kiedy escapowanie prez magic_qutes rozni sie od wymaganego przez baze danych, jak dane do bazy pochodza np. z innego zapytania (czasem trzeba).
Generalnie uczy to lenistwa i predzej czy pozniej okaze sie ze nie zabezpieczysz sie gdzies w miejcu gdzie magic_quotes nie dociera i nawet nie bedziesz wiedzial co sie dzieje. |
|
|
|
tamin SQL Injection 1.01.2004, 15:50:52 
menic te ' ' są wymagane przez mysql, a nie do zabezpiec... 1.01.2004, 16:07:58 b3 znalazlem cos na temat..
http://www.sitepoint.co... 1.01.2004, 17:40:30 adwol Re: SQL Injection 1.01.2004, 18:22:59 tamin Cytatte ' ' są wymagane przez mysql, a nie do zabe... 1.01.2004, 18:38:29 menic CytatWiec tak:
ja uwazam ze ' ' wystarcza i nie po... 1.01.2004, 19:05:48 tamin Jeszcze nie dodalem ze mam ustawione magic_quotes_... 1.01.2004, 19:47:30 Luke a może ...
<?php
(int)$_GET['show']
(int)$_POS... 1.01.2004, 21:06:18 tamin Ale mi chodzi o to czy te intval czy (int) czy cok... 1.01.2004, 21:10:57 
Manful Funkcja do czysczenia, przed wrzuceniem do MySQL 23.01.2004, 10:42:40  |
|
Aktualny czas: 7.10.2025 - 17:10 |
