Уважаемые форумчане, подскажите, коль не лень:
В конце-концов с потугами я написал "движок" для моего сайта на текстовых "бд"... Уже думал выложить в Сеть сей "шедевр", но наткнулся на топик на вашем форуме с расплывчатым
замечанием, мол де надо делать проверку на наличие хотябы спец-символов в запросе пользователя, иначе- конец вашему сайту... Выдавил из своего мозга после консультации с мануалом следующее:

Код

$b=$_GET['fillwith']; if (preg_match("/[^(\@)|(\.)|(\')|(\")|(\<)|(\>)]/",$b)) { print "Your inquiry is invalid"; die;} .......................................................................................... и тд. и т.п.

Будет ли этого достаточно и защитит ли от посягательств на мирное существование моего хомяка в стандартных ситуациях взлома ???
Или может вообще сделать список возможных значений??? Какие способы вы ещё знаете??? Заранее спасибо...

Можно добавить в самом начале
$b = basename($_GET['fillwith']);

Цитата

мол де надо делать проверку на наличие хотябы спец-символов в запросе пользователя, иначе- конец вашему сайту.

это где ты такое прочитал дай ссылку :-)))

Это я прочитал на данном форуме в топике "Как это?!"... Про ломанные сайты...
Дочитав про preg_match до конца понял, что мне достаточно этого:

Код

$b=basename($_GET['fill']); if (preg_match("/[^(\w)]/",$b)) { print "Your inquiry is invalid. Do you wanna hack me???"; die; }

А что именно даёт basename???

Ой, да это Вы и писали...

www.php.net/basename

Хороший сайт... Будемс знать-с...
Спасибки...

Почитай в статьях, ссылки на которые я давал, о безопасности php-скриптов. Суммарно эти статьи дают неплохое представление и том, как надо защищаться от взлома.

http://forum.vingrad.ru/index.php?showtopi...ndpost&p=281683
(Раздел "Безопасность")

Это сообщение отредактировал(а) dm9 - 26.12.2004, 18:03