Warning: Cannot use a scalar value as an array in /home/admin/public_html/forum/include/fm.class.php on line 757

Warning: Invalid argument supplied for foreach() in /home/admin/public_html/forum/include/fm.class.php on line 770

Warning: Invalid argument supplied for foreach() in /home/admin/public_html/forum/topic.php on line 737
Форумы портала PHP.SU :: безопасность подключения к MySQL

PHP.SU

Программирование на PHP, MySQL и другие веб-технологии

PHP.SU Портал

Главная

Помощь

Поиск

Поиск Яндекс Вакансии

Пользователи

Здравствуйте, Гость

( Вход · Регистрация · Правила форума )

Забыли пароль?

безопасность подключения к MySQL

Форумы портала PHP.SU » PHP » SQL и Архитектура БД (Модератор: SAD)

Страниц (1): [1]

Без описания

Поиск в теме | Версия для печати

galag63	Отправлено: 20 Октября, 2009 - 15:21:54
Новичок Покинул форум Сообщений всего: 2 Дата рег-ции: Окт. 2009 Помог: 0 раз(а)	Правилен ли с точки зрения безопасности следующий код..? $id = $HTTP_GET_VARS['id']; /* соединяемся с базой данных / mysql_pconnect("localhost", "mysql_user", "mysql_password") or die("Could not connect: " . mysql_error()); mysql_select_db("mydb"); / здесь функция вернёт корректное число удалённых записей */ mysql_query("DELETE FROM mytable WHERE id = '$id'"); printf ("Records deleted: %d\n", mysql_affected_rows());

Мелкий	Отправлено: 20 Октября, 2009 - 15:32:44
Активный участник Покинул форум Сообщений всего: 11926 Дата рег-ции: Июль 2009 Откуда: Россия, Санкт-Петербург Помог: 618 раз(а)	Нет, достаточно запросить скрипт как ?id=1%20or%201 и всё содержимое таблицы будет стёрто. (может, правда, слегка ошибаюсь в символах URL'a, но, главное смысл - передать в качестве id "1 or 1"). Аналогично можно выполнить вообще любую mysql команду. (Отредактировано автором: 20 Октября, 2009 - 15:34:55) ----- PostgreSQL DBA

EuGen	Отправлено: 20 Октября, 2009 - 15:55:05
Профессионал Покинул форум Сообщений всего: 9095 Дата рег-ции: Июнь 2007 Откуда: Berlin Помог: 707 раз(а)	galag63 пишет: $id = $HTTP_GET_VARS['id']; Это уже давно устарело. Или Ваш учебник слишком старый. Используйте $_GET, $_POST, $_COOKIE или $_REQUEST ----- Есть в мире две бесконечные вещи - это Вселенная и человеческая глупость. Но насчет первой .. я не уверен.

Leviafant	Отправлено: 20 Октября, 2009 - 20:34:22
Новичок Покинул форум Сообщений всего: 36 Дата рег-ции: Авг. 2008 Откуда: Курская обл Помог: 0 раз(а)	если у вас id является тока цифрой то используйте intval() приблизительно так, но там уже как удобней будет CODE (text): скопировать код в буфер обмена $id = $_GET['id']; $id = intval($id ); http://www.php.su/articles/?cat=...pdb&page=031 Цитата: Обрабатывайте данные, получаемые из адресной строки или из формы, и приводите их к нужному типу во избежание ошибок и "взломов" сайта. (ещё пример: если требуется идентификатор, то есть целое число, надо обработать его с помощью intval: $id = intval($id)). ----- Пока Рок жив буду жить и Я

Поиск в теме | Версия для печати

Страниц (1): [1]

Сейчас эту тему просматривают: 0 (гостей: 0, зарегистрированных: 0)

« SQL и Архитектура БД »

Все гости форума могут просматривать этот раздел.
Только зарегистрированные пользователи могут создавать новые темы в этом разделе.
Только зарегистрированные пользователи могут отвечать на сообщения в этом разделе.