#1 2010.03.23 00:54

2010
Участник
Откуда: localhost
Зарегистрирован: 2010.02.20
Сообщений: 230
Карма: 1
Профиль

Безопасность.

Если запретить запрос в бд и т.д. запрещённых сиволов методом get и фильтровать переданные переменные из форм то можно сделать хорошую безопасность? (не считая .htaccess). Что ещё можно сделать?

Неактивен

#2 2010.03.23 01:06

Gemorroj
Administrator
Откуда: Белоруссия
Зарегистрирован: 2007.11.03
Сообщений: 6593
Карма: 107
Профиль Веб-сайт

Re: Безопасность.

при чем тут GET вообще. данные могут прити откуда угодно и тебе нужно фильтровать их основываясь не на том, откуда они пришли, а фильтровать в любом случае. т.е. при формировании SQL запроса, если мы говорим о SQL-inj.
тут нужно просто технически понимать как элементарно работает программа.

Неактивен

#3 2010.03.23 07:22

2010
Участник
Откуда: localhost
Зарегистрирован: 2010.02.20
Сообщений: 230
Карма: 1
Профиль

Re: Безопасность.

Gemorroj,

index.php?act=1'

index.php?act=../../../../etc/passwd%00

index.php?act=http://şıté/

вот тебе и get. Надо тоже убедится что такое говно не случится.

То что данные могут прити откуда угодно  это я и сам знаю.

Ты наверно не так понимаешь мои слова или не так я пишу что ты ''причом тут это, причом то''
Но всеравно спасибо.
Добавлено спустя   9 минут  36 секунд:
Гемарой, знаешь такое кавычку ставишь в запрос бд и ошибка? вот тебе и вызвано по get. На сколько я знаю этот метод именно джет. Фильтруем переменные и всё.

Отредактировано 2010 (2010.03.23 07:24)

Неактивен

#4 2010.03.23 08:28

Gemorroj
Administrator
Откуда: Белоруссия
Зарегистрирован: 2007.11.03
Сообщений: 6593
Карма: 107
Профиль Веб-сайт

Re: Безопасность.

2010, постарайся прислушаться к тому что тебе говорят, а так что-то еще говорить я смысла не вижу.

Неактивен

#5 2010.03.25 14:50

Socrat
Гость

Re: Безопасность.

Код:

1
lt;?function cleanstr($value){ // если magic_quotes_gpc включена - используем stripslashes if (get_magic_quotes_gpc()) { $value = stripslashes(htmlspecialchars($value, ENT_QUOTES, 'UTF-8')); } // Если переменная - число, то экранировать её не нужно // если нет - то окружем её кавычками, и экранируем if (!is_numeric($value)) { $value = mysql_real_escape_string(htmlspecialchars($value, ENT_QUOTES, 'UTF-8')); } return $value;}?>

Как вам такой метод?

#6 2010.03.25 15:37

Gemorroj
Administrator
Откуда: Белоруссия
Зарегистрирован: 2007.11.03
Сообщений: 6593
Карма: 107
Профиль Веб-сайт

Re: Безопасность.

такой же как и все остальные

Неактивен

Дополнительно

forum.wapinet.ru

PunBB Mod v0.6.2
0.010 s