Zabezpieczenie zmiennej z bazy danych w $_GET Opcje

[renault12]

Hej,

Jak mógłbym tak fachowo zabezpieczyć ten kod przed atakami? Przychodzi mi kilka rozwiązań na myśl ale chciałbym żeby był on odporny na wiele możliwych sposobów.

[PHP] pobierz, plaintext 
<table width="100%">
        <?
		while($wynik = mysql_fetch_array($query)) {
			?>
                       <tr onclick="window.location='index.php?pokaz=profil&co=wiadomosci&mode=przychodzace&message=<? echo $wynik['id']; ?>">
                       <td>Od: <? echo $wynik['user_id']; ?>, Temat: <b><? echo $wynik['temat']; ?></b></td><td align="right"> <? echo $wynik['data']; ?></td>
                       </tr>
                       <?
		}
        }
	?>
</table>
<?
$zapytanie = mysql_query("SELECT `wiadomosc` FROM `wiadomosci` WHERE `id` = '".$_GET['message']."'");
?>
[PHP] pobierz, plaintext 

Ten post edytował renault12 29.06.2011, 11:19:08

[Rochu]

polecam ten temacik: SQL Injection/Insertion, Jak zapobiec włamaniu na stronę.

a w skrocie:

[PHP] pobierz, plaintext 
<?
$_GET['message'] = mysql_real_escape_string($_GET['message']);
$zapytanie = mysql_query("SELECT `wiadomosc` FROM `wiadomosci` WHERE `id` = '".$_GET['message']."'");
?>
[PHP] pobierz, plaintext 

----
teraz zauwazylem, ze $_GET['message'] odnosi sie do pola id, czyli jest liczba, najprosciej mozesz zabezpieczyc tak ta zmienna:

[PHP] pobierz, plaintext 
$_GET['message'] = (int)$_GET['message'];
[PHP] pobierz, plaintext 

Ten post edytował Rochu 29.06.2011, 11:33:02