Warning: Cannot use a scalar value as an array in /home/admin/public_html/forum/include/fm.class.php on line 757

Warning: Invalid argument supplied for foreach() in /home/admin/public_html/forum/include/fm.class.php on line 770
Форумы портала PHP.SU :: Версия для печати :: Удаление записи из бд ссылкой [2]
Форумы портала PHP.SU » PHP » Программирование на PHP » Удаление записи из бд ссылкой

Страниц (2): « 1 [2]
 

16. Мелкий - 18 Сентября, 2010 - 20:06:25 - перейти к сообщению
LEONeso пишет:
получается mysql_real_escape_string следует вписывать и при добавлении данных из форм? Ведь у меня работают они так:

mysql_real_escape_string надо вписывать всегда и ко всему, что уходит в бд и технически может быть строкой. Именно технически, вне зависимости от желания автора скрипта. А уж что приходит из форм - это экранировать и проверять всеми правдами и неправдами.

LEONeso пишет:
в данный аналог кода:

это не аналог, т.к. появится экранирование управляющих символов. Это мера безопасности БД.

LEONeso пишет:
status=0 - следует обрамлять кавычками или при числе это не обязательное дело?

для числа - не обязательно.

LEONeso пишет:
но по прежнему, безопасность кода - это страшно сложное дело?

нет, не сложное. Всего-то надо быть параноиком Радость ни в коем случае не доверять абсолютно всему, что пришло извне скрипта.
17. JustUserR - 19 Сентября, 2010 - 01:17:57 - перейти к сообщению
LEONeso пишет:
status=0 - следует обрамлять кавычками или при числе это не обязательное дело?
Если некоторый параметр SQL-запроса располагается в строковой константе в исхнодном PHP-коде и не содержит интерполирования внешних значений - то в таком случае его значения должно быть проэкранировано исключительно относительно статических синтаксических правил - в частности для числовых значений дополнительные кавычки можно не использовать
18. HotBird - 19 Сентября, 2010 - 01:57:02 - перейти к сообщению
LEONeso пишет:
получается mysql_real_escape_string следует вписывать и при добавлении данных из форм?

Никогда не вставляйте в запрос к базе неоработанную переменную, иначе рискуете попастся хакерам которые как минимум взломают вашу базу данных и информацию о всех пользователях в том числе и логин/пароль админа.
Я всегда и все вводимые данные обрабатываю на предмет наличия вредоносного кода. Если это заведомо числа то пропускаю их через функцию intval
PHP:
скопировать код в буфер обмена
  1. $number = intval($_GET['number']);
  2. $number = intval($_POST['number']);

Если это строки то вырезаю все заведомо ненужные символы оставляя только нужные.
Например в вашем случае значением del предусматривается только md5-строка которая содержит только латинские маленькие и большие буквы и цифры, соответсвенно нужно сделать так:
PHP:
скопировать код в буфер обмена
  1. $del = preg_replace ("/[^a-zA-Z0-9\s]/","",$_GET['del']);

таким образом остаются только буквы и цыфры, а всё остальное вырезается. Потом mysql_real_escape_string и тогда запрос к базе.
19. LEONeso - 21 Сентября, 2010 - 18:16:35 - перейти к сообщению
HotBird, спасибо за информацию с примерами, все полезно. Закатив глазки и регулярное умно используется, я только для проверок данных из форм сделал =) перед добавлением в бд.

 

Powered by ExBB FM 1.0 RC1