![]() |
![]() |
![]()
Post
#1
|
|
Grupa: Zarejestrowani Postów: 272 Pomógł: 9 Dołączył: 6.06.2009 Ostrzeżenie: (0%) ![]() ![]() |
Napisałem własne skrypty, działają i wgl, ale muszą zostać zabezpieczone. W związku z tym piszcie, czy napisałem w miarę ok, czy są rażące widoczne błędy, itp.
Plik logowanie.php
Czy wszystko robię ok ? Czy jest to odporne na SQJ injection ? Macie może jakieś sugestie ? Czy w pliku tylko dla zalogowanych w zupełności wystarczy:
Ten post edytował marian2299 17.08.2009, 00:34:12 |
|
|
![]() |
![]()
Post
#2
|
|
Grupa: Zarejestrowani Postów: 19 Pomógł: 2 Dołączył: 17.08.2009 Ostrzeżenie: (0%) ![]() ![]() |
Ponadto - i to się tyczy do Was obu - walidacja danych (IMG:style_emoticons/default/exclamation.gif) WAŻNE jest założenie, że KAŻDE dane pochodzące z zewnątrz, a szczególnie GET, POST - są niebezpieczne ! Dlatego też (tak jak wcześniej proponował fifi209) - bez wyrażeń regularnych się nie obejdzie. @Suh: czyli samo nie wystarczy? Najpierw trzeba wyrażeniami regularnymi sprawdzić, czy string przypadkiem nie zawiera niedozwolonych znaków i dopiero wtedy puścić go do MySQLa? Dobrze rozumiem? Bo jeśli mysql_real_escape_string nie wystarcza, to albo ja coś źle rozumiem, albo manual wprowadza w błąd (IMG:style_emoticons/default/winksmiley.jpg) Jest tam przecież napisane, że... Cytat tak przygotowanego łańcucha można bezpiecznie użyc w funkcji mysql_query() Samo napisanie sprawdzenia wyrażenia regularnego dla prostego ciągu znaków jak nazwa użytkownika nie powinno być trudne (chociaż jeszcze w pełni tego nie opanowałem), ale w takim razie po co używać mysql_real_escape_string? Takie dublowanie roboty wtedy jest (IMG:style_emoticons/default/winksmiley.jpg) Ten post edytował radabus 19.08.2009, 22:42:23 |
|
|
![]() ![]() |
![]() |
Aktualny czas: 7.10.2025 - 11:57 |