Сигурност при филтриране на данни с php

Сигурност 12.03.2006 18:45 (преди 18 години и 1 месец) | pxl | прочетена 625 пъти

Отвори статията     

Tази статия е публикувана само он-лайн.

Вижте още:

• Новите заплахи - вашия рутер
• Locker вирусите - какво трябва да знаем за тях
• Защити на анонимността
• Хакерски емулатори за извършване на Pentest – проникване в уеб-сайтове и компютърни системи
• Руткитът – история и видове
• AIDE или как да повишим нивото на сигурност
• Вирус в мрежовата карта
• Живи спасителни дискове – Част 3
• Как работи полиморфният генератор на код
• Как да генерираме и лесно да помним сложни пароли

Мнения на потребители

• Неделя, 12.03.06, 23:10, hitman:
  Аз бих искал да добавя още едно важно нещо - винаги когато получавате някакво id от потребителя, задължително го преобразувайте в int преди да го използвате в sql-заявка или където и да е:

  $id = intval($_POST['id']); ... mysql_query("SELECT * FROM `tbl` WHERE `id`=$id");

  Така предотвратявате възможни SQL инжекции и ще сте сигурни, че MySQL няма да пропищи за грешка в синтаксиса.

• Понеделник, 13.03.06, 00:56, pxl:
  Напълно прав, за преобразуването на числови параметри подадени от потребителят с intval($_GET[id]) или (int)$_GET[id], но понякога се налагат стрингови типове, в такива случай е добре да се ползват mysql_real_escape_string или addslashes() функций. Добро допълнение, но статията се отнасяше за т.нар. XSS уязвимости. Доста има да се пише и по уязвимостите за които спомена при ползване на бази данни, надявам се в скоро време да имам време и да опитам да развия някаква подобна тема :)
• Четвъртък, 06.04.06, 17:10, anonymous:
  Много добра статия
• Вторник, 13.03.07, 20:33, anonymous:
  :))

Платени препратки

вашето каре - тук