![]() |
![]() |
![]()
Post
#1
|
|
Grupa: Zarejestrowani Postów: 15 Pomógł: 0 Dołączył: 15.09.2008 Ostrzeżenie: (0%) ![]() ![]() |
Do łączenia się z bazą mysql od niedawna używam PDO, wcześniej miałem bazowałem na funkcjach mysql_* i miałem swoją funkcję do zapytań, która miała jakieś tam zabezpieczenia. Teraz w PDO wszystkie zapytania idą przez szablon (PDO::prepare()) i wszystkie dane wrzucane są przez PDOStatement::bindValue(), które znajdują się w tablicy wrzucanej do funkcji, na podstawie klucza sprawdzam czy to jest int czy string.
Czy potrzebne są jeszcze jakieś zabezpieczenia, typu filtrowania tablic GET i POST (aktualnie tylko sprawdzam czy ktoś nie wrzuca czegoś od siebie). Jeśli chodzi o zabezpieczenia to dopiero od niedawna zaczynam się bawić nieco bardziej na poważnie. |
|
|
![]() |
![]()
Post
#2
|
|
Grupa: Zarejestrowani Postów: 119 Pomógł: 0 Dołączył: 19.01.2008 Ostrzeżenie: (0%) ![]() ![]() |
ew. strip_tags, albo htmlspecialchars.
SQL Injection odpada jeżeli używasz bindowania parametrów w PDO. tzn... nie ma takich zabezpieczeń, aby zawsze w 100% być bezpiecznym. Ja mam taką teorię, że nie ma zabezpieczeń których nie da rady złamać. |
|
|
![]() ![]() |
![]() |
Aktualny czas: 14.10.2025 - 07:12 |