Warning: Cannot use a scalar value as an array in /home/admin/public_html/forum/include/fm.class.php on line 757

Warning: Invalid argument supplied for foreach() in /home/admin/public_html/forum/include/fm.class.php on line 770
Форумы портала PHP.SU :: Версия для печати :: sql инъекции и вводные данные
Форумы портала PHP.SU » » Вопросы новичков » sql инъекции и вводные данные

Страниц (1): [1]
 

1. shum0531 - 31 Марта, 2013 - 20:54:29 - перейти к сообщению
я игнорирую эти вложения
CODE (text):
скопировать код в буфер обмена
  1. array(' ', '    ', '/', '\\', '<', '>', '"', '\'', ';', '`', '(', ')', '|')
достаточно ли будет этого?
2. OrmaJever - 31 Марта, 2013 - 21:01:24 - перейти к сообщению
sql иньекция бывает только из-за кавычек, всё остальное можно не фильтровать
(Добавление)
ах да, забыл дописать mysqli_real_escape_string() или mysqli::real_escape_string() эта функция сама всё зделает.
3. Морозов Семен - 31 Марта, 2013 - 21:41:16 - перейти к сообщению
Используйте комбинированный метод
PHP:
скопировать код в буфер обмена
  1.  
  2. function sanitizeString($var)
  3. {
  4.   $var = strip_tags($var);
  5.   $var = stripslashes($var);
  6.   $var = htmlentities($var, ENT_QUOTES, "utf-8");
  7.     return $var;
  8. }      
  9.  
  10. function sanitizeMySQL($var)
  11. {
  12.   $var = mysql_real_escape_string($var);
  13.   $var = sanitizeString($var);
  14.   return $var;
  15. }
4. esterio - 01 Апреля, 2013 - 14:33:30 - перейти к сообщению
Морозов Семен
Что делать когда раметку нужно сберечь? И как sanitizeString защитит от SQL-иньекций.
5. DelphinPRO - 01 Апреля, 2013 - 15:22:41 - перейти к сообщению

Универсальная защита от скул-инъекций. Непробиваемая.

PHP:
скопировать код в буфер обмена
  1. function SqlInjectionProtectString($inputString){
  2.   return md5($inputString);
  3. }

Запатентовано. Отчисления направляйте в «DelphinPRO Corp.»
6. OrmaJever - 01 Апреля, 2013 - 15:49:11 - перейти к сообщению
Морозов Семен функция sanitizeMySQL вначале экранизирует кавычки, затем вызывается sanitizeString которая убирает эту экранизацию. Может лучше в цикл запустить эти два действия для пущей верности.
esterio пишет:
И как sanitizeString защитит от SQL-иньекций.

htmlentities с ENT_QUOTES экранизирует кавычки Подмигивание
(Добавление)

DelphinPRO не останавливайся на достигнутом, патентуй архиватор
PHP:
скопировать код в буфер обмена
  1. function Arch($filename){
  2.    return md5(file_get_contents($filename));
  3. }

 

Powered by ExBB FM 1.0 RC1