[MySQL][PHP]Bezpiczeństwo mojego skryptu

[MySQL][PHP]Bezpiczeństwo mojego skryptu

Vion Zobacz profil	17.02.2011, 17:52:56 Post #1
Grupa: Zarejestrowani Postów: 112 Pomógł: 2 Dołączył: 27.06.2008 Ostrzeżenie: (0%)	Witam O to mój skrypt, jakie popełniłem błędy przy bezpieczeństwie. Jak powinienem się zabezpieczyć. [PHP] pobierz, plaintext $wynik = "SELECT * FROM shot WHERE shot_is_published ='1' and shot_id='".$_GET['id']."' ORDER BY RAND() LIMIT 1 "; $results=mysql_query($wynik); while($row = mysql_fetch_array($results)) { $image_id= $row['shot_id']; $image_filename= "shot/" . $image_id . ".jpg"; ?> <div class="post"> <div class="entry"> <p class="meta">Data dodania: <?php echo $row['shot_date_submitted'];?></p><br> <img src='<?php echo $image_filename; ?>'> </div> <div class="byline"> <br> <p class="meta"><a type="button_count" share_url="epicshot.pl/view.php?id=<?php echo $row['shot_id']; ?>"name="fb_share">Share</a> <script src="http://static.ak.fbcdn.net/connect.php/js/FB.Share" type="text/javascript"></script></p> </div> </div> <?php } [PHP] pobierz, plaintext -------------------- www.zapalara.pl

Odpowiedzi (1 - 4)

Piogola Zobacz profil	17.02.2011, 18:57:17 Post #2
Grupa: Zarejestrowani Postów: 151 Pomógł: 36 Dołączył: 1.02.2011 Skąd: Warszawa Ostrzeżenie: (0%)	Nie filtrujesz zmiennej $_GET['id']. Strona podatna jest na SQL Injection -------------------- Google Manual

Vion Zobacz profil	17.02.2011, 20:00:37 Post #3
Grupa: Zarejestrowani Postów: 112 Pomógł: 2 Dołączył: 27.06.2008 Ostrzeżenie: (0%)	trochę poczytałem i zmieniłem na coś takiego: [PHP] pobierz, plaintext $id=(int)$_GET['id']; $id = trim($id); $id = htmlspecialchars($id); $wynik = "SELECT * FROM shot WHERE shot_is_published ='1' and shot_id='$id' ORDER BY RAND() LIMIT 1 "; $results=mysql_query($wynik); while($row = mysql_fetch_array($results)) { $image_id= $row['shot_id']; $image_filename= "shot/" . $image_id . ".jpg"; ?> <div class="post"> <div class="entry"> <p class="meta">Data dodania: <?php echo $row['shot_date_submitted'];?></p><br> <img src='<?php echo $image_filename; ?>'> </div> <div class="byline"> <br> <p class="meta"><a type="button_count" share_url="epicshot.pl/view.php?id=<?php echo $row['shot_id']; ?>"name="fb_share">Share</a> <script src="http://static.ak.fbcdn.net/connect.php/js/FB.Share" type="text/javascript"></script></p> </div> </div> <?php } [PHP] pobierz, plaintext -------------------- www.zapalara.pl

hyhyhy Zobacz profil	17.02.2011, 20:27:10 Post #4
Grupa: Zarejestrowani Postów: 135 Pomógł: 5 Dołączył: 6.02.2011 Ostrzeżenie: (0%)	w zasadzie jestem początkujący i moge pocisnąć głupote, ale... może dorzuć mysql_real_escape_string() ?

Piogola Zobacz profil	17.02.2011, 20:33:29 Post #5
Grupa: Zarejestrowani Postów: 151 Pomógł: 36 Dołączył: 1.02.2011 Skąd: Warszawa Ostrzeżenie: (0%)	@Vion Jeśli rzutujesz typ na zmienną $id to dalej nie musisz filtrować zmiennej, bo zmienna $id może być tylko liczbą. -------------------- Google Manual

1 Użytkowników czyta ten temat (1 Gości i 0 Anonimowych użytkowników)

0 Zarejestrowanych:

Tryb wyświetlania: Przełącz na: Standardowy · Linearny+ · Przełącz na: Drzewo

Aktualny czas: 14.08.2025 - 10:36

Hosting zapewnia

Forum PHP.pl