Этот сайт не наркоманов. Это сайт программистов. Здесь курят мануал.

Добро пожаловать на Пыху!

Логин:
Пароль:
 

Нет прописки? Зарегистрируйся!

Новости

Пыха переехала на новый сервер, ура!

Краснодарское время: 25 Май, 2012, 11:19:32

Страниц: [1]
« предыдущая тема следующая тема »
Печать
Автор Тема: Как обезопасится от sql инъекции?  (Прочитано 456 раз)
0 Пользователей и 2 Гостей смотрят эту тему.
.snif    ↓ 
23 Февраль, 2011, 08:14:47
НЕ ХУЕТА! ХУЕТА!


Карма: 0
Сообщений: 19
Сила слова: 0
Всем привет. Вот кусок кода из index.php:
PHP

$id_post = $_GET['post'];
if (empty($id_post)) {
    show_short_posts();
    } else {
        show_full_posts($id_post);
        }
 
функция show_full_posts:
PHP

function show_full_posts ($post_id) {
    $query = @mysql_query("SELECT * FROM `posts` WHERE `id` = '".$post_id."'");
    if (!$query) {
        @header("Location: blank.php?m=3");
        } else {
            while ($row = @mysql_fetch_array($query)) {
        //ну тут что и как выводить
                }
            }
 
собственно говоря как обезопасится от sql инъекции? ведь в ?post= можно подставить что угодно?
Записан
Faster    ↓ 
23 Февраль, 2011, 08:17:17 , спустя 2 минуты 30 секунд
 НЕ ХУЕТА! ХУЕТА!


Карма: 10
Сообщений: 954
Сила слова: 1.05
is_numeric
mysql_real_escape_string
Записан
воспитываю дочь. С домами и деревьями  - не приставать.
Frozzeg    ↓ 
23 Февраль, 2011, 08:17:47 , спустя 30 секунд
 НЕ ХУЕТА! ХУЕТА!

Группа: Пятросянище

Карма: 92
Сообщений: 5500
Сила слова: 1.67
а что говорит гугл?
Записан
Эксперт — это человек, который в узкой области допустил все возможные ошибки. © Нильс Бор.
Отложить на завтра — значит впасть в рекурсию. © Frozzeg
.snif    ↓ 
23 Февраль, 2011, 08:31:51 , спустя 14 минут 4 секунды
 НЕ ХУЕТА! ХУЕТА!


Карма: 0
Сообщений: 19
Сила слова: 0
Frozzeg
а что говорит гугл?
ну я у него как бы не спрашивал) я просто думаю, может проце регулярку поставить что бы только цифры можно было вводить, но в регулярка вобще полный 0)
Записан
Frozzeg    ↓ 
23 Февраль, 2011, 08:34:08 , спустя 2 минуты 17 секунд
 НЕ ХУЕТА! ХУЕТА!

Группа: Пятросянище

Карма: 92
Сообщений: 5500
Сила слова: 1.67
ну если int, то бонально проверить на тип int
Записан
Эксперт — это человек, который в узкой области допустил все возможные ошибки. © Нильс Бор.
Отложить на завтра — значит впасть в рекурсию. © Frozzeg
master    ↓ 
23 Февраль, 2011, 08:41:04 , спустя 6 минут 56 секунд
 НЕ ХУЕТА! ХУЕТА!

Квадратов сколько видишь ты?
Группа: Джедаи

Карма: 44
Сообщений: 2080
Сила слова: 2.12
гугли 'php type casting to integer', 'php mysql_real_escape_string', 'placeholders' 'prepared statements (PDO, MySQLi)'
Записан
http://rumin-sport.com
master    ↓ 
23 Февраль, 2011, 08:59:52 , спустя 18 минут 48 секунд
 НЕ ХУЕТА! ХУЕТА!

Квадратов сколько видишь ты?
Группа: Джедаи

Карма: 44
Сообщений: 2080
Сила слова: 2.12
.snif
ну я у него как бы не спрашивал
отлично, например
Записан
http://rumin-sport.com
phpdude    ↓ 
24 Февраль, 2011, 08:47:16 , спустя 11 часов 47 минут 24 секунды
 НЕ ХУЕТА! ХУЕТА!

я - ЭМО
Группа: в ухо

Карма: 345
Сообщений: д-о-х-у-я!
Сила слова: 1.66
плейсхолдеры/ескейпинг/явное указание типа
Записан
забанен. могу забанить других, пишите в личку
BEER. Helping ugly people have sex since 1862.
Страниц: [1]
Печать
« предыдущая тема следующая тема »
 

Перейти в:  

Этот топик скрыли: adw0rd, Frozzeg