Warning: Cannot use a scalar value as an array in /home/admin/public_html/forum/include/fm.class.php on line 757

Warning: Invalid argument supplied for foreach() in /home/admin/public_html/forum/include/fm.class.php on line 770

Warning: Invalid argument supplied for foreach() in /home/admin/public_html/forum/topic.php on line 737
Форумы портала PHP.SU :: Удаление записи из бд ссылкой [2]

 PHP.SU

 Программирование на PHP, MySQL и другие веб-технологии
PHP.SU Портал     На главную страницу форума Главная     Помощь Помощь     Поиск Поиск     Поиск Яндекс Поиск Яндекс     Вакансии  Пользователи Пользователи


 Страниц (2): « 1 [2]   

> Описание: ссылка на удаление записи
Поиск в теме | Версия для печати
Мелкий Супермодератор
Отправлено: 18 Сентября, 2010 - 20:06:25
Post Id



Активный участник


Покинул форум
Сообщений всего: 11926
Дата рег-ции: Июль 2009  
Откуда: Россия, Санкт-Петербург


Помог: 618 раз(а)
LEONeso пишет:
получается mysql_real_escape_string следует вписывать и при добавлении данных из форм? Ведь у меня работают они так:

mysql_real_escape_string надо вписывать всегда и ко всему, что уходит в бд и технически может быть строкой. Именно технически, вне зависимости от желания автора скрипта. А уж что приходит из форм - это экранировать и проверять всеми правдами и неправдами.

LEONeso пишет:
в данный аналог кода:

это не аналог, т.к. появится экранирование управляющих символов. Это мера безопасности БД.

LEONeso пишет:
status=0 - следует обрамлять кавычками или при числе это не обязательное дело?

для числа - не обязательно.

LEONeso пишет:
но по прежнему, безопасность кода - это страшно сложное дело?

нет, не сложное. Всего-то надо быть параноиком Радость ни в коем случае не доверять абсолютно всему, что пришло извне скрипта.


-----
PostgreSQL DBA
 
 Top
JustUserR
Отправлено: 19 Сентября, 2010 - 01:17:57
Post Id



Активный участник


Покинул форум
Сообщений всего: 8715
Дата рег-ции: Июнь 2009  


Помог: 17 раз(а)
LEONeso пишет:
status=0 - следует обрамлять кавычками или при числе это не обязательное дело?
Если некоторый параметр SQL-запроса располагается в строковой константе в исхнодном PHP-коде и не содержит интерполирования внешних значений - то в таком случае его значения должно быть проэкранировано исключительно относительно статических синтаксических правил - в частности для числовых значений дополнительные кавычки можно не использовать


-----
Сделать можно все что угодно - нужно только старание, терпение и хороший поисковик Улыбка
Безлимитный web-хостинг от 15 рублей за 40 МБ дискового пространства - http://ihost[dot]oks71[dot]ru/
 
 Top
HotBird
Отправлено: 19 Сентября, 2010 - 01:57:02
Post Id



Гость


Покинул форум
Сообщений всего: 114
Дата рег-ции: Сент. 2010  


Помог: 2 раз(а)
LEONeso пишет:
получается mysql_real_escape_string следует вписывать и при добавлении данных из форм?

Никогда не вставляйте в запрос к базе неоработанную переменную, иначе рискуете попастся хакерам которые как минимум взломают вашу базу данных и информацию о всех пользователях в том числе и логин/пароль админа.
Я всегда и все вводимые данные обрабатываю на предмет наличия вредоносного кода. Если это заведомо числа то пропускаю их через функцию intval
PHP:
скопировать код в буфер обмена
  1. $number = intval($_GET['number']);
  2. $number = intval($_POST['number']);

Если это строки то вырезаю все заведомо ненужные символы оставляя только нужные.
Например в вашем случае значением del предусматривается только md5-строка которая содержит только латинские маленькие и большие буквы и цифры, соответсвенно нужно сделать так:
PHP:
скопировать код в буфер обмена
  1. $del = preg_replace ("/[^a-zA-Z0-9\s]/","",$_GET['del']);

таким образом остаются только буквы и цыфры, а всё остальное вырезается. Потом mysql_real_escape_string и тогда запрос к базе.

(Отредактировано автором: 19 Сентября, 2010 - 02:07:42)



-----
Человек, сделавший синтаксический анализатор PHP на одном регулярном выражении, займет достойное место среди гениев.
Качественный хостинг по доступной цене
 
 Top
LEONeso
Отправлено: 21 Сентября, 2010 - 18:16:35
Post Id



Посетитель


Покинул форум
Сообщений всего: 499
Дата рег-ции: Янв. 2010  
Откуда: Россия, Москва


Помог: 1 раз(а)
HotBird, спасибо за информацию с примерами, все полезно. Закатив глазки и регулярное умно используется, я только для проверок данных из форм сделал =) перед добавлением в бд.


-----
Для некоторых лучший способ написать что-нибудь осмысленное - это сесть _опой на клавиатуру.
 
 Top
Поиск в теме | Версия для печати
Страниц (2): « 1 [2]
Сейчас эту тему просматривают: 0 (гостей: 0, зарегистрированных: 0)
« Программирование на PHP »


Все гости форума могут просматривать этот раздел.
Только зарегистрированные пользователи могут создавать новые темы в этом разделе.
Только зарегистрированные пользователи могут отвечать на сообщения в этом разделе.
  



Powered by PHP  Powered By MySQL  Powered by Nginx  Valid CSS  RSS

 
Powered by ExBB FM 1.0 RC1. InvisionExBB