Всем привет.
Собственно по сабжу, есть скрипт который принимает гет запросы на сервере, как его оформить чтобы исключить вариант хтмл и sql иньъекции? И как безопасно его обработать на серверной стороне. Мне советуют вариант шифрования запроса с переменным ключем шифрования. Вот только как его лучше реализовать? Можете подсказать пример удачный такого шифрования и обработки запросов?
1. daglas1 - 29 Февраля, 2012 - 22:10:28 - перейти к сообщению
2. OrmaJever - 29 Февраля, 2012 - 22:21:05 - перейти к сообщению
Это зависит от того что имено может прийти, например если это несколько статических значений то можно создать масив и проверять этот параметр на присуцтвие в масиве, если это какая-то динамическая строка то регулярное выражение, ну а если вобще может быть что угодно то фильтровать по мере надобности
1) Если даные заносятся в базу то mysql_escape_string() или аналог mysqli.
2) Если даные выводятся на страницу то htmlspecialchars()
Эта 2 самых основных варианта, а вобще зависит от сутации, через какие функции эти даные будут проходить, куда деватся.
1) Если даные заносятся в базу то mysql_escape_string() или аналог mysqli.
2) Если даные выводятся на страницу то htmlspecialchars()
Эта 2 самых основных варианта, а вобще зависит от сутации, через какие функции эти даные будут проходить, куда деватся.
3. daglas1 - 29 Февраля, 2012 - 22:25:58 - перейти к сообщению
OrmaJever пишет:
Это зависит от того что имено может прийти, например если это несколько статических значений то можно создать масив и проверять этот параметр на присуцтвие в масиве, если это какая-то динамическая строка то регулярное выражение, ну а если вобще может быть что угодно то фильтровать по мере надобности
1) Если даные заносятся в базу то mysql_escape_string() или аналог mysqli.
2) Если даные выводятся на страницу то htmlspecialchars()
Эта 2 самых основных варианта, а вобще зависит от сутации, через какие функции эти даные будут проходить, куда деватся.
1) Если даные заносятся в базу то mysql_escape_string() или аналог mysqli.
2) Если даные выводятся на страницу то htmlspecialchars()
Эта 2 самых основных варианта, а вобще зависит от сутации, через какие функции эти даные будут проходить, куда деватся.
Спасибо за ответы. пока структура запроса такая gd.php?login=user11111&pass=pass11111
Данные не заносятся в бд, а только идет проверка на наличие в БД юзеров с такими позывными. Т.е. только два входящих параметра. А как это все дело можно зашифровать так чтобы я потом мог на серверной стороне расшифровать.
4. OrmaJever - 29 Февраля, 2012 - 23:04:14 - перейти к сообщению
Ну вобще важные даные отправляются методом post, и зашифровывать впринципе ничего не надо.