WAP Мастер Форум / PHP / Безопасность.

#1. 2010 Off (1)
Участник
2010.03.23 00:12

Если запретить запрос в бд и т.д. запрещённых сиволов методом get и фильтровать переданные переменные из форм то можно сделать хорошую безопасность? (не считая .htaccess). Что ещё можно сделать?

#2. Gemorroj Off (107)
Administrator
2010.03.23 01:01

при чем тут GET вообще. данные могут прити откуда угодно и тебе нужно фильтровать их основываясь не на том, откуда они пришли, а фильтровать в любом случае. т.е. при формировании SQL запроса, если мы говорим о SQL-inj.
тут нужно просто технически понимать как элементарно работает программа.

#3. 2010 Off (1)
Участник
2010.03.23 07:07

Gemorroj,

index.php?act=1'

index.php?act=../../../../etc/passwd%00

index.php?act=http://şıté/

вот тебе и get. Надо тоже убедится что такое говно не случится.

То что данные могут прити откуда угодно это я и сам знаю.

Ты наверно не так понимаешь мои слова или не так я пишу что ты ''причом тут это, причом то''
Но всеравно спасибо.
Добавлено спустя 9 минут 36 секунд:
Гемарой, знаешь такое кавычку ставишь в запрос бд и ошибка? вот тебе и вызвано по get. На сколько я знаю этот метод именно джет. Фильтруем переменные и всё.

Отредактировано 2010 (2010.03.23 07:07)

#4. Gemorroj Off (107)
Administrator
2010.03.23 08:08

2010, постарайся прислушаться к тому что тебе говорят, а так что-то еще говорить я смысла не вижу.

#5. Socrat
Гость
2010.03.25 14:02

Код:

lt;?function cleanstr($value){ // если magic_quotes_gpc включена - используем stripslashes if (get_magic_quotes_gpc()) { $value = stripslashes(htmlspecialchars($value, ENT_QUOTES, 'UTF-8')); } // Если переменная - число, то экранировать её не нужно // если нет - то окружем её кавычками, и экранируем if (!is_numeric($value)) { $value = mysql_real_escape_string(htmlspecialchars($value, ENT_QUOTES, 'UTF-8')); } return $value;}?>

Как вам такой метод?