| |
|
|
| | Решил српосить последний раз про безопасность своих приложений...
Все числовые значения проверять intval(); (целые), а дробные похожей функцией (просто сейчас забыл как он нзывается :) floatval(), doubleval()... не помню в общем :))
Когда мы вводим что-то в БД налдо проверять mysql_escape_string();
Когда мы выводим значения: $str = htmlspecialchars($str, ENT_QUOTES);
Всё время желателно использовать trim(); (что бы не попытались ввести пустую строку к примеру).
А что еще можно сделать? Вот к примеру пользователь присылает комментайри на сервер, я его обрабатываю и засовываю в БД, а потом вывожу его. Хватит ли этих действий, что бы его не ввзломали?
Заранее спасибо... | |
| |
|
|
| |
|
|
| |
для: DEM
(11.04.2008 в 13:42)
| | | Для каждого лучше отдельно написать функцию, которая будет фильтровать через регулярные выражения. я так делаю. имхо наиболее нормальный способ защищить переменные от вредоносных символов и кодов | |
| |
|
|
| |
|
|
| |
для: Antohins
(11.04.2008 в 14:11)
| | | А вдруг я сделаю мини-форум и на странице будет около 100 сообщений... Каждое фильтровать регуляркой довольно нагружно для сервера :( Да и тем более, не могу же я запретить пользователю писать < или " и просто удалять их... А если еще писать заменение одних символов на другие тоже с помощью регулярки, то он просомтра однйо етмы меня хостеры возненавидят :)
ЗЫ. всё это ИМХО | |
| |
|
|
| |
|
|
| |
для: DEM
(11.04.2008 в 13:42)
| | | Хватит. Только перед использованием mysql_escape_string() проверьте выключены или включены магические кавычки при помощи функции get_magic_quotes_gpc() иначе можно лишний раз экранировать спец-символы. | |
| |
|
|
| |
|
|
| |
для: cheops
(12.04.2008 в 15:18)
| | | Это есть :)
Спасибо, значит мои скрипты безопасны и их не страшно выкидывать в интернет )) Ура! | |
| |
|
|
