![]() |
Модераторы: skyboy, MoLeX, Aliance, ksnk |
![]() ![]() ![]() |
|
Predator199 |
|
|||
Опытный ![]() ![]() Профиль Группа: Участник Сообщений: 412 Регистрация: 1.2.2012 Репутация: -3 Всего: -4 |
Так проверяю на инъекции
Таких строчек скажем 20(разные посты и тд). Скажите что проще и как будит быстрей php читать(какие фильтрации). И в тоже время надежные. Это сообщение отредактировал(а) Predator199 - 2.12.2012, 22:24 |
|||
|
||||
Arantir |
|
|||
Рыбак без удочки ![]() ![]() Профиль Группа: Участник Сообщений: 960 Регистрация: 18.11.2012 Репутация: 16 Всего: 55 |
Инъекции куда? В базу данных?
htmlspecialchars предназначен для вывода HTML-кода на страницу. В частности, для не-выполнения этого кода из, например, комментариев. Для запросов в базу данных следует использовать prepared statements (не в курсе, как на русский красиво перевести). Это надежно. -------------------- interface Жопа { // ATTENTION: has to be implemented by every class of the project for proper project work } |
|||
|
||||
skyboy |
|
|||
неОпытный ![]() ![]() ![]() ![]() Профиль Группа: Модератор Сообщений: 9820 Регистрация: 18.5.2006 Где: Днепропетровск Репутация: 75 Всего: 260 |
это не проверка, а обработка. причем, с вытягиванием из GET'a или POST'a — при том, что обычно GET и POST просто для разных задач и одноименные параметры в них — подозрительно, можешь использовать $_REQUEST как синоним "то ли из $_GET, то ли из $_POST". это раз. htmlspecialchars помогает против XSS, но никак не защищает от SQL-injection. А по контексту не понятно, от какой "инъекции" ты защищаешься. Это два. если ты защищаешься от XSS, то все равно — htmlspecialchars надо применять перед выводом. а не при обработке входных параметров скрипта. иначе, к примеру, будешь по статьям сайта искать не "R&D", а "R&D" и, естественно, поиск ничего не найдет. два с половиной. trim не обязателен в любом случае. это три. |
|||
|
||||
Arantir |
|
|||
Рыбак без удочки ![]() ![]() Профиль Группа: Участник Сообщений: 960 Регистрация: 18.11.2012 Репутация: 16 Всего: 55 |
Еще должен заметить, что одной функцией от всего вы не спасетесь. Смотрите на свое приложение так, как будто в нем всегда есть где-то дырка о которой вы просто не знаете.
И фильтровать желательно по мере потребности, а не в стиле "всенахзаэкранированоитипабезопасно". - Если пользователь при регистрации ввел в логин что-то типа "*&^%$#@", то продолжать что-то с ним делать не имеет смысла. - Если в поле "введите значение от 1 до 5" ввели строку длиннее одного символа, то продолжать что-то с ним делать не имеет смысла. - Если в cookie с unix-меткой последнего визита содержаться буквы, то продолжать что-то с ним делать не имеет смысла. .... Это сообщение отредактировал(а) Arantir - 2.12.2012, 23:17 -------------------- interface Жопа { // ATTENTION: has to be implemented by every class of the project for proper project work } |
|||
|
||||
Predator199 |
|
|||
Опытный ![]() ![]() Профиль Группа: Участник Сообщений: 412 Регистрация: 1.2.2012 Репутация: -3 Всего: -4 |
||||
|
||||
Arantir |
|
|||
Рыбак без удочки ![]() ![]() Профиль Группа: Участник Сообщений: 960 Регистрация: 18.11.2012 Репутация: 16 Всего: 55 |
Predator199, например, написать в комментарий:
Не говоря уже о get/post запросах через ajax, которыми можно или положить серв или анти-ддос положит всех юзеров в блек-лист без их ведома. Это сообщение отредактировал(а) Arantir - 3.12.2012, 07:47 -------------------- interface Жопа { // ATTENTION: has to be implemented by every class of the project for proper project work } |
|||
|
||||
![]() ![]() ![]() |
Правила форума "PHP" | |
|
Новичкам:
Важно:
Внимание:
Если Вам понравилась атмосфера форума, заходите к нам чаще! С уважением, IZ@TOP, skyboy, SamDark, MoLeX, awers. |
1 Пользователей читают эту тему (1 Гостей и 0 Скрытых Пользователей) | |
0 Пользователей: | |
« Предыдущая тема | PHP: Общие вопросы | Следующая тема » |
|
По вопросам размещения рекламы пишите на vladimir(sobaka)vingrad.ru
Отказ от ответственности Powered by Invision Power Board(R) 1.3 © 2003 IPS, Inc. |