WAP Мастер Форум / Безопасность.

» WAP Мастер Форум https://forum.wapinet.ru/index.php
» PHP https://forum.wapinet.ru/viewforum.php?id=3
» Безопасность. https://forum.wapinet.ru/viewtopic.php?id=797

2010 » 2010.03.23 00:54

Если запретить запрос в бд и т.д. запрещённых сиволов методом get и фильтровать переданные переменные из форм то можно сделать хорошую безопасность? (не считая .htaccess). Что ещё можно сделать?

Gemorroj » 2010.03.23 01:06

при чем тут GET вообще. данные могут прити откуда угодно и тебе нужно фильтровать их основываясь не на том, откуда они пришли, а фильтровать в любом случае. т.е. при формировании SQL запроса, если мы говорим о SQL-inj.
тут нужно просто технически понимать как элементарно работает программа.

2010 » 2010.03.23 07:22

Gemorroj,

index.php?act=1'

index.php?act=../../../../etc/passwd%00

index.php?act=http://şıté/

вот тебе и get. Надо тоже убедится что такое говно не случится.

То что данные могут прити откуда угодно это я и сам знаю.

Ты наверно не так понимаешь мои слова или не так я пишу что ты ''причом тут это, причом то''
Но всеравно спасибо.
Добавлено спустя 9 минут 36 секунд:
Гемарой, знаешь такое кавычку ставишь в запрос бд и ошибка? вот тебе и вызвано по get. На сколько я знаю этот метод именно джет. Фильтруем переменные и всё.

Gemorroj » 2010.03.23 08:28

2010, постарайся прислушаться к тому что тебе говорят, а так что-то еще говорить я смысла не вижу.

Socrat » 2010.03.25 14:50

Код:

lt;?function cleanstr($value){ // если magic_quotes_gpc включена - используем stripslashes if (get_magic_quotes_gpc()) { $value = stripslashes(htmlspecialchars($value, ENT_QUOTES, 'UTF-8')); } // Если переменная - число, то экранировать её не нужно // если нет - то окружем её кавычками, и экранируем if (!is_numeric($value)) { $value = mysql_real_escape_string(htmlspecialchars($value, ENT_QUOTES, 'UTF-8')); } return $value;}?>

Как вам такой метод?

Gemorroj » 2010.03.25 15:37

такой же как и все остальные