|
Модераторы: skyboy, MoLeX, Aliance, ksnk |
|
SneG0K |
|
||||
Max Mara Профиль Группа: Завсегдатай Сообщений: 1887 Регистрация: 1.12.2007 Где: Wis Dells Репутация: 7 Всего: 54 |
Вот занялся я писать движки. Вроде уже так "каркас" сделал, пора мне переходить к безопасности.
Ко мне в скрипт передаются числовые и текстовые параметры. Числовые фильтрую так
Вроде работает. Хочу спросить насколько это безопасно? И не было ли обнаружено ошибок в функции set_type? А как мне фильтровать текстовые параметры, только на определенные символы?
|
||||
|
|||||
ksnk |
|
|||
прохожий Профиль Группа: Комодератор Сообщений: 6855 Регистрация: 13.4.2007 Где: СПб Репутация: 96 Всего: 386 |
-------------------- Человеку свойственно ошибаться, программисту свойственно ошибаться профессионально ! |
|||
|
||||
SneG0K |
|
|||
Max Mara Профиль Группа: Завсегдатай Сообщений: 1887 Регистрация: 1.12.2007 Где: Wis Dells Репутация: 7 Всего: 54 |
Известно!
|
|||
|
||||
awers |
|
|||
Эксперт Профиль Группа: Участник Сообщений: 1465 Регистрация: 22.3.2006 Где: Россия, Таганрог Репутация: 21 Всего: 31 |
SneG0K, тогда думаю все отлично )
|
|||
|
||||
ksnk |
|
|||
прохожий Профиль Группа: Комодератор Сообщений: 6855 Регистрация: 13.4.2007 Где: СПб Репутация: 96 Всего: 386 |
Тогда не совсем понятен такой набор "символов" для фильтрования.
про settype в комментариях на php.net отзываются большей частью непонимающе-недоуменно, однако явных дыр, вроде никто не нарыл... -------------------- Человеку свойственно ошибаться, программисту свойственно ошибаться профессионально ! |
|||
|
||||
SneG0K |
|
|||
Max Mara Профиль Группа: Завсегдатай Сообщений: 1887 Регистрация: 1.12.2007 Где: Wis Dells Репутация: 7 Всего: 54 |
Тогда все отлично)
|
|||
|
||||
Feldmarschall |
|
|||
Новичок Профиль Группа: Участник Сообщений: 2641 Регистрация: 11.12.2007 Репутация: 22 Всего: 32 |
SneG0K, насколько я понял, твои вопросы сводятся к защите от SQL инъекций.
Защита же "движков" не сводится только к ней. Приходится учитывать и другие вещи. А по поводу SQL позволь задать тебе вопрос Допустим, из формы передано имя поля, по которому надо сортировать выборку. Лежит оно в поле $sort Как ты будешь формировать запрос с ним? |
|||
|
||||
SneG0K |
|
|||
Max Mara Профиль Группа: Завсегдатай Сообщений: 1887 Регистрация: 1.12.2007 Где: Wis Dells Репутация: 7 Всего: 54 |
Модератор: Сообщение скрыто. |
|||
|
||||
Feldmarschall |
|
|||
Новичок Профиль Группа: Участник Сообщений: 2641 Регистрация: 11.12.2007 Репутация: 22 Всего: 32 |
Тебе надо отсортировать таблицу по нему.
Покажи, как будешь составлять запрос. |
|||
|
||||
Smith |
|
|||
Шустрый Профиль Группа: Участник Сообщений: 56 Регистрация: 17.1.2007 Репутация: 1 Всего: 2 |
htmlspecialchars() и striptags(), вот и минимум защиты ;)
|
|||
|
||||
Canarat |
|
|||
Бывалый Профиль Группа: Участник Сообщений: 212 Регистрация: 11.3.2008 Где: Каспий Репутация: 5 Всего: 5 |
что ни сообщение так...
SneG0K, а почему так, а не через запись типа $integer=(int) $integer ? А вообще тут есть тема http://forum.vingrad.ru/forum/topic-201930.html И Feldmarschall задал правильный вопрос, подумай над сопоставлением данных от клиента с данными, которыми пользуется скрипт. |
|||
|
||||
SneG0K |
|
|||
Max Mara Профиль Группа: Завсегдатай Сообщений: 1887 Регистрация: 1.12.2007 Где: Wis Dells Репутация: 7 Всего: 54 |
Не знаю) Просто сет_тупе мне больше нравится))) Feldmarschall, вот ответ на твой вопрос
|
|||
|
||||
Feldmarschall |
|
|||
Новичок Профиль Группа: Участник Сообщений: 2641 Регистрация: 11.12.2007 Репутация: 22 Всего: 32 |
И где здесь сортировка?
А если поле будет не целочисленное? будешь делать set_type($name, "String");? |
|||
|
||||
ksnk |
|
|||
прохожий Профиль Группа: Комодератор Сообщений: 6855 Регистрация: 13.4.2007 Где: СПб Репутация: 96 Всего: 386 |
SneG0K, А можно привести текст процедуры set_type? Про нее не знают на php.net. Если имеется ввиду settype, то запись
Лишается вообще какого-либо смысла... -------------------- Человеку свойственно ошибаться, программисту свойственно ошибаться профессионально ! |
|||
|
||||
SneG0K |
|
||||
Max Mara Профиль Группа: Завсегдатай Сообщений: 1887 Регистрация: 1.12.2007 Где: Wis Dells Репутация: 7 Всего: 54 |
Нет... там я буду делать по другому!
Я занимаюсь другими языками программирования, поэтому мог допустить ошибку в синтаксисе! |
||||
|
|||||
Правила форума "PHP" | |
|
Новичкам:
Важно:
Внимание:
Если Вам понравилась атмосфера форума, заходите к нам чаще! С уважением, IZ@TOP, skyboy, SamDark, MoLeX, awers. |
0 Пользователей читают эту тему (0 Гостей и 0 Скрытых Пользователей) | |
0 Пользователей: | |
« Предыдущая тема | PHP: Общие вопросы | Следующая тема » |
|
По вопросам размещения рекламы пишите на vladimir(sobaka)vingrad.ru
Отказ от ответственности Powered by Invision Power Board(R) 1.3 © 2003 IPS, Inc. |