|
| |
|
|
| |
для: Zew
(17.09.2005 в 14:27)
| | | Не только get, но и post и даже cookie... | |
| |
|
|
| |
|
|
| |
для: Zew
(17.09.2005 в 14:27)
| | | Нет - это только для чисел, но вообще если строковый параметр не должен содержать одинарных кавычек, пробелов, и других потенциально опасных элементов можно разработать регулярное выражение и для него.
PS Регулярные выражения, в том числе и для защиты скрипта обсуждаются в разделе "Регулярные выражения" нашего форума. | |
| |
|
|
| |
|
|
| |
для: cheops
(17.09.2005 в 13:09)
| | | Аааа... Т.е. так можно проверять любые полученные через ГЕТ данные? Или только айди? | |
| |
|
|
| |
|
|
| |
для: Zew
(17.09.2005 в 01:54)
| | | Вот так вот лучше не делать
<?php
$id = $_GET['id'];
//Выборка из базы отмеченных пунктов
if(!empty($id)){
$query_ed = "SELECT * FROM news WHERE id = " . $id . " ORDER BY id DESC";
?>
|
иначе сломают, если вы всё пропускате через addslashes пропускайте не только текст, но и числа - когда будут ломать в числа такого понапихают. А лучше вообще числовые параметры проверяйте при помощи регулряного выражения
if(!preg_match("|^[\d]+$|",$id) && !empty($id)) exit("Недопустимый формат URL-запроса");
|
И лучше не непосредственно перед использованием, а в самом начале - чтобы не забыть какой-нибудь параметр и чтобы проверка не зависила от логики скрипта. | |
| |
|
|
| |
|
|
| |
для: Artemy
(17.09.2005 в 11:38)
| | | Ну, вообще-то это не административная часть - это единственный файл всей системы новостей. =) Там и отображение новости, и администрирование(редактирование/удаление/добавление) и архив новостей, все в одном. =) *делить на несколько файлов мне конечно же было лень))*
А вот про отдельную папку и .htaccess хотелось бы узнать поподробнее - как можно защитить таким образом файл? | |
| |
|
|
| |
|
|
| |
для: Zew
(17.09.2005 в 01:54)
| | | Если это административная часть модуля новости, то в принцепе вопросы по защите не надо ставить! Этот файл следует поместить в отдельную папку и защитить средствами .htaccess! | |
| |
|
|
| |
|
|
| |
для: Zew
(16.09.2005 в 01:00)
| | | Эм, у меня к вам последняя *надеюсь* небольшая просьба. Я этот скрипт вроде как дописала и довела до максимального лоска, но вот на счет безопастности не совсем уверена. Можете кто-нибудь его просмотреть на предмет каких-нибудь фатальных ошибок/упущений и т.п.? =) Я его файлом цепляю к посту... Я просто на основе этого скрипта собираюсь создать еще много чего для публикации всяческого материала на сайте, поэтому нужно чтобы он хотя-бы без серьезных ошибок был... *_* | |
| |
|
|
| |
|
|
| |
для: Zew
(16.09.2005 в 09:54)
| | | Тьфу, все, разобралась сама. =) | |
| |
|
|
| |
|
|
| |
для: Zew
(16.09.2005 в 01:00)
| | | Все-равно не редактируется... =( | |
| |
|
|
| |
|
|
| |
для: Zew
(16.09.2005 в 01:00)
| | |
$query_edit = "UPDATE news SET data=".$data.", news_text=".$ed_news." WHERE id=".$id;
|
на:
$query_edit = "UPDATE news SET data='".addslashes($data)."', news_text='".addslashes($ed_news)."' WHERE id=".$id;
|
| |
| |
|
|
|
