| |
|
|
| | в моей системе статистики в БД записываеться $_GET строка, хочу еще POST фиксировать, но ни то ни другое у меня пока не проходит чистку... дмаю так: сначала urldecode сделать а потом очитстить переменные, штатных пхп функций достаточно будет.. надо ведь еще от эксплоита защититься.. как лучше сделать? | |
| |
|
|
| |
|
|
| |
для: localGhost
(13.10.2005 в 01:54)
| | | Хм... в первую очередь следует защититься от SQL-инъекций, пропустив содержимое строки через функцию mysql_escape_string(), затем перед выводом на страницу следует пропустить содержимое ещё и через htmlspecialchars(). | |
| |
|
|
| |
|
|
| |
для: cheops
(13.10.2005 в 12:29)
| | | mysql_escape_string() это 100% защита от инъекций? больше ничего добавить тут не надо (давно хотел задать этот вопрос) | |
| |
|
|
| |
|
|
| |
для: localGhost
(15.10.2005 в 02:02)
| | | 100% гарантии не даст наверное никто, это зависит от запроса и от условий его формирования, пока UNION не было - проблем было много меньше, теперь введены вложенные запросы, хранимые процедуры и базы данных продолжают совершенствоваться. В настоящий момент функции mysql_escape_string() и mysql_real_escape_string() - почти 100% защита... | |
| |
|
|
| |
|
|
| |
для: cheops
(13.10.2005 в 12:29)
| | | Лучше использовать вместо mysql_escape_string функцию mysql_real_escape_string()
Т.к. она экранирует в зависимости от кодировки. | |
| |
|
|
