|
| |
|
|
| |
для: Unkind
(01.08.2007 в 18:32)
| | | =) с моим то трафиком...
http://softtime.ru/forum/read.php?id_forum=1&id_theme=1511
http://softtime.ru/forum/read.php?id_forum=1&id_theme=31643
вот и все что интересного нашла...
почему нельзя поднять эту тему? http://softtime.ru/forum/read.php?id_forum=1&id_theme=1511
=(((
там кто то обещал выложить в .doc | |
| |
|
|
| |
|
|
| |
для: Binura
(01.08.2007 в 18:28)
| | | Статей очень много. И сам факт того, что просят написать еще уже говорит о том, что никому до них дела нет. Иначе бы они давно прочитали и поняли, что такое XSS.
http://phpclub.ru/faq/wakka.php?wakka=XSS | |
| |
|
|
| |
|
|
| |
для: Trianon
(01.08.2007 в 18:19)
| | | >Мне? По-моему, это трудная и неблагодарная работа.
почему же? =) Мы все скажем большоооооооЕ спасибо!!!
и если кто и будет подобную тему поднимать будем давать ссылку на статью...
а то так каждый день одну и ту же тему поднимаем в которых 70% содержит оффтопа и всякого спора... | |
| |
|
|
| |
|
|
| |
для: Binura
(01.08.2007 в 14:19)
| | | >Ю.. ограничиваясь лишь теми формами, которые не создают потенциальных XSS- и JS-уязвимостей.
>можно подробнее? или где можно об этом почитать?
например здесь, на форуме.
http://softtime.ru/forum/srchform.php?&name=*XSS*&numberthemes=30&srchwhere=2&logic=1
>и вообще, защита сайта очень важная тема. можно было ВАМ (бывалым) написать какую-нибудь статейку...от XSS, JS и подобных уязвимостей... =)) если не трудно.
Мне? По-моему, это трудная и неблагодарная работа. | |
| |
|
|
| |
|
|
| |
для: Trianon
(01.08.2007 в 15:52)
| | | Да, действительно. | |
| |
|
|
| |
|
|
| |
для: Unkind
(01.08.2007 в 14:01)
| | | >посчитайте md5 до внесения и после извлечения из таблицы.
>Да это понятное дело. Пробелы удалит сама СУБД. Я имею ввиду какая же неустойчивая работа с ключами, если я не буду использовать trim(). Мы вроде об этом говорим.
$login = $_POST['login'];
$md5_php = md5(login);
$esc_login = mysql_escape_string($login);
mysq_query("INSERT INTO users (login) VALUES('$esc_login')");
echo mysql_result(mysq_query("SELECT login FROM users WHERE MD5(login) = '$md5_login'"),0);
|
| |
| |
|
|
| |
|
|
| |
для: Trianon
(01.08.2007 в 13:33)
| | | >Как вы его реализуете - дело ваше. Важно лишь, чтобы оно не допускало построение произвольного кода, ограничиваясь лишь теми формами, которые не создают потенциальных XSS- и JS-уязвимостей.
можно подробнее? или где можно об этом почитать?
и вообще, защита сайта очень важная тема. можно было ВАМ (бывалым) написать какую-нибудь статейку...от XSS, JS и подобных уязвимостей... =)) если не трудно.
а то я даже не знаю что это такое... =) | |
| |
|
|
| |
|
|
| |
для: Unkind
(01.08.2007 в 14:08)
| | | >можно вместо этого поставить проверку is_numeric() ?
>При условии, что поле точно имеет числовой тип. Просто если новичёк поставит какой-то текстовый (такое, к сожалению, бывает), то можно записать в HEX-виде строку, т.к. HEX-числа вроде 0xFF эта функция пропустит.
думаю тип поля поставить у меня хватит ума =)),
но я все равно передумала использовать is_numeric() , спасибо...
>HEX-виде строку, т.к. HEX-числа вроде 0xFF эта функция пропустит.
а если это сюда вставить? то он тем более пропустит в текстовом поле? или я ошибаюсь....
if (!get_magic_quotes_gpc())
{
$name = mysql_escape_string($name);
}
|
>можно ли чтоб функция заменяла на <br/>
>На <br /> и заменяет. Точнее добавляет перед переводами строк, а не заменяет.
извиняюсь... я решила что она заменяет на <br>, видать у меня ошибка другая.. | |
| |
|
|
| |
|
|
| |
для: Binura
(01.08.2007 в 14:02)
| | | можно вместо этого поставить проверку is_numeric() ?
При условии, что поле точно имеет числовой тип. Просто если новичёк поставит какой-то текстовый (такое, к сожалению, бывает), то можно записать в HEX-виде строку, т.к. HEX-числа вроде 0xFF эта функция пропустит.
можно ли чтоб функция заменяла на <br/>
На <br /> и заменяет. Точнее добавляет перед переводами строк, а не заменяет. | |
| |
|
|
| |
|
|
| |
для: cheops
(01.08.2007 в 13:53)
| | | >>>Да, для строковых параметров хватит.
>>как это понять? а для каких не хватит? =)
>Для числовых - SQL-инъекции по числовым параметрам осуществляются без использования кавычек. В случае числовых параметров можно использовать преобразование вида
>
<?php
> $id = intval($id);
>?>
|
а можно вместо этого поставить проверку is_numeric() ?
>
>>>>я б еще trim() добавила...
>>>Добавьте - это не принципиально, просто иногда требуется оставлять данные именно в том
>>>виде, которые ввёл пользователь, особенно если в конце не пробельные символы, а
>>>переводы строк.
>>т.е. если я использую <textarea> - лучше не использовать trim()???//
>От ситуации зависит, но лучше не использовать, особенно, если переводы строк при выводе в окно браузера затем заменяются на <br>, например, при помощи функции nl2br().
я ее использую. вот небольшая проблема на счет этого:
можно ли чтоб функция заменяла на <br/> или это только вручную? а то в wml ошибку дает | |
| |
|
|
|
