 Zabezpieczenie połaczenia z bazą przez PDO |
| Zabezpieczenie połaczenia z bazą przez PDO |
Post
#1
|
|
|
Grupa: Zarejestrowani Postów: 15 Pomógł: 0 Dołączył: 15.09.2008 Ostrzeżenie: (0%) 
 |
Do łączenia się z bazą mysql od niedawna używam PDO, wcześniej miałem bazowałem na funkcjach mysql_* i miałem swoją funkcję do zapytań, która miała jakieś tam zabezpieczenia. Teraz w PDO wszystkie zapytania idą przez szablon (PDO::prepare()) i wszystkie dane wrzucane są przez PDOStatement::bindValue(), które znajdują się w tablicy wrzucanej do funkcji, na podstawie klucza sprawdzam czy to jest int czy string.
Czy potrzebne są jeszcze jakieś zabezpieczenia, typu filtrowania tablic GET i POST (aktualnie tylko sprawdzam czy ktoś nie wrzuca czegoś od siebie). Jeśli chodzi o zabezpieczenia to dopiero od niedawna zaczynam się bawić nieco bardziej na poważnie. |
 |
 
|
 |
|
Post
#2
|
|
|
Grupa: Zarejestrowani Postów: 15 Pomógł: 0 Dołączył: 15.09.2008 Ostrzeżenie: (0%)
|
Co prawda w niektórych formularzach jest możliwość wysyłania html'a (np przez TinyMCE), chyba zablokowanie skryptów JS z danego pola?
Wszystkie formularze są wysyłane przez POST, ważniejsze wymagają nawet potwierdzenia hasłem w nowym oknie, więc XSRF mi raczej nie grozi. |
|
|
|
Kokocky Zabezpieczenie połaczenia z bazą przez PDO 18.07.2011, 23:59:03 
Reptile ReX ew. strip_tags, albo htmlspecialchars.
SQL Inject... 19.07.2011, 11:40:28 
Rid Tutaj jest ciekawy artykuł o PDO.Ja bym zalecił uż... 19.07.2011, 22:03:35  |
|
Aktualny czas: 26.12.2025 - 19:48 |
