download.bg
 Вход Списание  Новини  Програми  Статии  Форум  Чат   Абонамент  Топ95   Архив 

Сигурност при филтриране на данни с php

Виж статията

Автор
Съобщение
hitman
Нед, 12.03.06, 23:10
Аз бих искал да добавя още едно важно нещо - винаги когато получавате някакво id от потребителя, задължително го преобразувайте в int преди да го използвате в sql-заявка или където и да е:
$id = intval($_POST['id']);
...
mysql_query("SELECT * FROM `tbl` WHERE `id`=$id");

Така предотвратявате възможни SQL инжекции и ще сте сигурни, че MySQL няма да пропищи за грешка в синтаксиса.

pxl
Пон, 13.03.06, 00:56
Напълно прав, за преобразуването на числови параметри подадени от потребителят с intval($_GET[id]) или (int)$_GET[id], но понякога се налагат стрингови типове, в такива случай е добре да се ползват mysql_real_escape_string или addslashes() функций. Добро допълнение, но статията се отнасяше за т.нар. XSS уязвимости. Доста има да се пише и по уязвимостите за които спомена при ползване на бази данни, надявам се в скоро време да имам време и да опитам да развия някаква подобна тема :)
anonymous
Чет, 06.04.06, 17:10
Много добра статия
anonymous
Вто, 13.03.07, 20:33
:))

Коментар

за нас | за разработчици | за реклама | станете автори | in english  © 1998-2024   Experta Ltd.