 Własne zabezpieczenie przed sql injection |
| Własne zabezpieczenie przed sql injection |
Post
#1
|
|
|
Grupa: Zarejestrowani Postów: 101 Pomógł: 0 Dołączył: 20.12.2006 Ostrzeżenie: (0%) 
 |
Witam,
Piszę skrypt który będzie używany przez większość a nie tylko przez administratora dlatego musiałbym zastosować mocniejsze zabezpieczenia przed sql injection. Przy liczbach stosuje: (int) np.
Przy wpisach/dodawaniu do mysql stosuję: mysql_real_escape_string addslashes aby uniknąć xss stosuje htmlentities Jakie jeszcze filtry mogę zastosować? Wiem że jest temat przyklejony odnośnie tego ale każdy stawia inne rozwiązanie do odpowiedniego skryptu i nie można zawsze przenieść rozwiązań do własnego. Pozdrawiam i liczę że pomożecie. |
 |
 
|
 |
|
Post
#2
|
|
|
Grupa: Zarejestrowani Postów: 101 Pomógł: 0 Dołączył: 20.12.2006 Ostrzeżenie: (0%)
|
Cytat(fifi209 @ 12.06.2009, 21:16:19 )  Jeżeli tak bardzo chcesz się zabezpieczać, możesz skorzystać z biblioteki PDO, gdzie podaje się typ przekazywanej zmiennej i ew. jej długość. W innym przypadku, jak już pisali mysql_real_escape_string, ja bym dodał wyrażenia regularne. (określasz "bezpieczny" dozwolony ciąg np. tylko a-z i 0-9 [np. dla logowania]) No racja wyrażenia regularne też są dobre. Wtedy łatwo określić co może posiadać login. Zapoznam się z biblioteką PDO. |
|
|
|
gandziorz Własne zabezpieczenie przed sql injection 12.06.2009, 17:36:58 
bełdzio wstarczy, że będziesz spr czy to co user... 12.06.2009, 19:45:33 Crozin A po co Ci addslashes przy mysql_real_escape_strin... 12.06.2009, 19:51:37 gandziorz Cytat(bełdzio @ 12.06.2009, 20:45... 12.06.2009, 20:14:04 fifi209 Jeżeli tak bardzo chcesz się zabezpieczać, możesz ... 12.06.2009, 20:16:19  |
|
Aktualny czas: 9.10.2025 - 01:45 |
