| |
|
|
| | собственно как проверить подвержен ли код этой атаке и как защитить себя? | |
| |
|
|
| |
|
|
| |
для: Bvz
(13.03.2009 в 17:45)
| | | Правильно обрабатывать входящие данные. | |
| |
|
|
| |
|
|
| |
для: AcidTrash
(13.03.2009 в 17:56)
| | | и как их правильно обрабатывать? | |
| |
|
|
| |
|
|
| |
для: Bvz
(13.03.2009 в 17:59)
| | | Да поможет вам поиск по форуму в решении этого вопроса. | |
| |
|
|
| |
|
|
| |
для: Bvz
(13.03.2009 в 17:59)
| | | посмотри в мануале в разделе "безопасность". обрати внимание на функции "mysql_escape_string", "stripslashes","mysql_real_escape_string" и т.д. | |
| |
|
|
| |
|
|
| |
для: Bvz
(13.03.2009 в 17:45)
| | | Обязательно обработать все входящие данные, которые участвуют в создании sql-запросов следующим образом:
<?php
if(!get_magic_quotes_gpc())
{
$_POST['a'] = mysql_escape_string($_POST['a']);
$_GET['b'] = mysql_escape_string($_GET['b']);
$_COOKIE['c'] = mysql_escape_string($_COOKIE['c']);
// и так далее...
}
|
| |
| |
|
|
| |
|
|
| |
для: Bvz
(13.03.2009 в 17:45)
| | | Если через командную строку передаются только числовые данные, например:
.php?id_catalog=1
, то можно использовать функцию intval():
$_GET['id_catalog'] = intval($_GET['id_catalog']);
|
| |
| |
|
|
