|
| |
|
|
| |
для: Евгений Петров
(24.06.2005 в 01:56)
| | | Если на хосте разрешено выполнение функций system и exec, то HtmlSpecialChars не спасёт от выполнения вставок с использованием этих функций... но такое редко наблюдается. | |
| |
|
|
| |
|
|
| |
для: cheops
(24.06.2005 в 01:18)
| | | Я у вас где то на форуме вычитал, что функцию HtmlSpecialChars можно как то обойти, не подскажите как? | |
| |
|
|
| |
|
|
| |
для: Евгений Петров
(23.06.2005 в 21:38)
| | | Наиболее опасна одинарная кавычка ', так как позволяет закрыть переменную и присобачить к запросу что-нибудь вроде AND 1=1, что приведёт к ложному срабатыванию, или UNION другой запрос, что позволит отобразить информацию, которую не желательно выводить в окно браузера. | |
| |
|
|
| |
|
|
| |
для: cheops
(23.06.2005 в 19:32)
| | | А насколько опасна такая кавычка <'> и вообще какие наиболее опасные символы? | |
| |
|
|
| |
|
|
| |
для: Евгений Петров
(23.06.2005 в 14:08)
| | | Это резко снижает вероятность SQL-инъекции практически до 0. | |
| |
|
|
| |
|
|
| |
для: JC_Piligrim
(23.06.2005 в 14:03)
| | | А то, что в строке не будет кавычек (точнее они будут предварены "\") гарантирует, то что не получится использовать SQL-инъекцию для взлома или нет? | |
| |
|
|
| |
|
|
| |
для: Евгений Петров
(22.06.2005 в 21:26)
| | | На [url]holm.ru[/url] magic_quotes_gpc включены. Приходится применять stripcslashes к строкам, пришедшим от пользователя перед сохранением информации, чтобы эти \' превратить в '. (Базу не использую. Вместо нее некое подобие - сериализованные массивы в файлах). | |
| |
|
|
| |
|
|
| |
для: P@Sol
(23.06.2005 в 10:26)
| | | А вот и нифига? Я осилил себя и решил проверить как оно работает, так вот в БД значения заносятся уже без слешей. | |
| |
|
|
| |
|
|
| |
для: Евгений Петров
(23.06.2005 в 01:20)
| | | да:) | |
| |
|
|
| |
|
|
| |
для: cheops
(22.06.2005 в 21:50)
| | | А вообще в чем суть. Сначала добавить слеши перед символами а при извлечении удалить их? | |
| |
|
|
|
