Przesyłanie zmiennych między stronami Opcje

[lukaszmaster]

Witam,
przesyłanie zmiennych między stronami zwykle wykonuje za pomocą POST, GET i SESJI, czasami zmienne widoczne są w adresie strony. Zwykle przesyłam wartości zmiennych jako liczby lub tekst bez specjalnych znaków. No i napisałem funkcję do odbierania tych zmiennych usuwającą niepożądane znaki aby ktoś mi takiej zmiennej nie zamienił. Poniżej wklejam kod i mam pytanie czy to wystarczy aby do zmiennej nie dostał się złośliwy kod, albo jakieś zapytanie do bazy?

[PHP] pobierz, plaintext 
//bezpieczne odbieranie zmiennych 
function odbierz($txt) {
  if (get_magic_quotes_gpc()) 
	{
		$txt = stripslashes($txt);
	}
  return str_replace(array('\\',"'",'"','>','<','/'), array("","","","","",""), trim($txt));
}
[PHP] pobierz, plaintext 

[lukaszmaster]

No ale jeśli ktoś będzie chciał podstawić jakiś kod do zmiennej to raczej znaczniki zostaną wycięte i kod będzie bezużyteczny i nie narobi szkody?
np odbieram zmienną która potem będzie wartością wstawioną do zapytania mysql.

[PHP] pobierz, plaintext 
 
$id = odbierz($_REQUEST['id']);
 
if (is_numeric($id)) {
$sql = mysql_query("SELECT pola FROM uzytkownicy WHERE id='$id'");
 
}
 
 
[PHP] pobierz, plaintext 

no i czy w ten sposób można podmienić zmienną id przesyłaną w adresie strony na taki kod który umożliwiłby wyciągnięcie danych o użytkowniku (IMG:style_emoticons/default/questionmark.gif)

A ja teraz odgrzeję temat ze względu na przykładowego użytkownika emajl22.

Zmorą naszych, polskich forów są użytkownicy którzy o temacie nie mają zielonego pojęcia, a tylko potrafią skorzystać z wyszukiwarki w manualu. Mało tego jeszcze nie w tym manualu co trzeba. Nie mam zielonego pojęcia po grzyb nabijać sobie liczbę postów pod awatarem? Czy dają za to jakieś nagrody lub pieniądze?

Czytałem tu sporo tematów, co niektórzy mam wrażenie wpisują w dokumentacji temat i wklejają linka(nawet nie czytają czy wyszukiwarka trafiła z rezultatami wyniku). A nie czytają bo zapewne z angielskim problem.


Więc emajl22 zanim napiszesz coś bez sensu i bez jakichkolwiek argumentów poparcia swojej tezy to zastanów się 2 razy. Jeżeli myślisz że ktoś uzna cię za eksperta w dziedzinie po liczbie odpowiedzi na forum to się mylisz. Wykaż się wiedzą a nie liczbą odniesień do dokumentacji.

Na amerykańskim forum dostałem konkretne odpowiedzi na ten sam temat, ludzie pokazali kod który mógł zaszkodzić, wytknęli błędy - na tym to polega. A tu mam wrażenie forumowicze boją się że będą mieli zbyt dużą konkurencje na rynku pracy jak ktoś od nich się czegoś dowie.

Ja wiem że w swojej dziedzinie jestem dobry i podejrzewam że przez najbliższe 30 lat(o ile dożyje) z pracą nie będzie problemu, żadnego! Bo jak czyta się takie fora to aż żal du*e ściska że niektóre osoby biorą się za programowanie. Strach by było powierzyć napisanie czegokolwiek poważniejszego ludziom z takim podejściem


Pozdrawiam,


Ten post edytował lukaszmaster 27.01.2011, 16:01:19