[PHP] Jak zabezpieczać stronkę Opcje

[followc]

Witam,
ku końcowi dobiega najbardziej skomplikowany (choć dla wprawionego php-owca jest absolutnie banalny, tego świadomość mam pełną) projekt. Przyszedł czas na zabezpieczanie. To co zastosowałem to znane mi htmlentities przy odbieraniu POSTów i mysql_real_escape_string przy zapisach do bazy danych. Czy jeszcze w jakiś sposób zabezpiecza się standardowo różne operacje? Gdzie mogę znaleźć wartościową wiedzę?

[nospor]

Zabezpieczenie stron to pojecie bardzo szerokie a to co ty tutaj wymieniles to nadaje sie tylko do kosza.

Po pierwsze: strone sie zabezpiecze od poczatku, a nie na jej koncu.
Po drugie: skoro uzywasz mysql_real_escape_string, znaczy ze uzywasz funkcji mysql_ - wielki BLAD. Juz dawno powinienies jechac na PDO
Po trzecie: htmlentities przy odbieraniu POSTów ? Ze niby po co?

Powód edycji: [nospor]:

[followc]

No dobra, są to zawsze już jakieś informacje do poszukiwań(IMG:style_emoticons/default/biggrin.gif)

[Damonsson]

Przejrzyj sobie chociażby OWASP TOP 10: https://www.owasp.org/index.php/Top_10_2013-Top_10

[followc]

No dobrze, czyli ku końcowi to jednak jeszcze daleko, sporo do ogarnięcia zupełnie nowego tematu. Dzięki za podpowiedzi!

[by_ikar]

Po trzecie: htmlentities przy odbieraniu POSTów ? Ze niby po co?

No co ty, nie widziałeś nigdy pętli na POST/GET z htmlspecialchars/htmlentities ? Nie takie potworki się widziało (IMG:style_emoticons/default/biggrin.gif)

[nospor]

Widzialem... dlatego sie pytam PO CO?? To ze jedni piszą potworki, nie znaczy, że inni nadal muszą powtarzac bledy sprzed tysiaca lat (IMG:style_emoticons/default/tongue.gif)

[matysek83]

Do zmiennych pre definiowanych możesz dodać $_POST['przyklad'] = filter_var($_POST['przyklad'], FILTER_SANITIZE_STRING);

http://stackoverflow.com/questions/2339212...itize-string-do