 Własne zabezpieczenie przed sql injection |
| Własne zabezpieczenie przed sql injection |
Post
#1
|
|
|
Grupa: Zarejestrowani Postów: 101 Pomógł: 0 Dołączył: 20.12.2006 Ostrzeżenie: (0%) 
 |
Witam,
Piszę skrypt który będzie używany przez większość a nie tylko przez administratora dlatego musiałbym zastosować mocniejsze zabezpieczenia przed sql injection. Przy liczbach stosuje: (int) np.
Przy wpisach/dodawaniu do mysql stosuję: mysql_real_escape_string addslashes aby uniknąć xss stosuje htmlentities Jakie jeszcze filtry mogę zastosować? Wiem że jest temat przyklejony odnośnie tego ale każdy stawia inne rozwiązanie do odpowiedniego skryptu i nie można zawsze przenieść rozwiązań do własnego. Pozdrawiam i liczę że pomożecie. |
 |
 
|
 |
|
Post
#2
|
|
|
Grupa: Zarejestrowani Postów: 4 655 Pomógł: 556 Dołączył: 17.03.2009 Skąd: Katowice Ostrzeżenie: (0%)
|
Jeżeli tak bardzo chcesz się zabezpieczać, możesz skorzystać z biblioteki PDO, gdzie podaje się typ przekazywanej zmiennej i ew. jej długość.
W innym przypadku, jak już pisali mysql_real_escape_string, ja bym dodał wyrażenia regularne. (określasz "bezpieczny" dozwolony ciąg np. tylko a-z i 0-9 [np. dla logowania]) |
|
|
|
gandziorz Własne zabezpieczenie przed sql injection 12.06.2009, 17:36:58 
bełdzio wstarczy, że będziesz spr czy to co user... 12.06.2009, 19:45:33 Crozin A po co Ci addslashes przy mysql_real_escape_strin... 12.06.2009, 19:51:37 gandziorz Cytat(bełdzio @ 12.06.2009, 20:45... 12.06.2009, 20:14:04 
gandziorz Cytat(fifi209 @ 12.06.2009, 21:16:19 ... 13.06.2009, 13:04:36  |
|
Aktualny czas: 6.10.2025 - 07:23 |
