Warning: Cannot use a scalar value as an array in /home/admin/public_html/forum/include/fm.class.php on line 757

Warning: Invalid argument supplied for foreach() in /home/admin/public_html/forum/include/fm.class.php on line 770

Warning: Invalid argument supplied for foreach() in /home/admin/public_html/forum/topic.php on line 737
Форумы портала PHP.SU :: безопасный get запрос на сервер

 PHP.SU

 Программирование на PHP, MySQL и другие веб-технологии
PHP.SU Портал     На главную страницу форума Главная     Помощь Помощь     Поиск Поиск     Поиск Яндекс Поиск Яндекс     Вакансии  Пользователи Пользователи


 Страниц (1): [1]   

> Без описания
Поиск в теме | Версия для печати
daglas1
Отправлено: 29 Февраля, 2012 - 22:10:28
Post Id


Посетитель


Покинул форум
Сообщений всего: 329
Дата рег-ции: Июль 2011  


Помог: 1 раз(а)
Всем привет.
Собственно по сабжу, есть скрипт который принимает гет запросы на сервере, как его оформить чтобы исключить вариант хтмл и sql иньъекции? И как безопасно его обработать на серверной стороне. Мне советуют вариант шифрования запроса с переменным ключем шифрования. Вот только как его лучше реализовать? Можете подсказать пример удачный такого шифрования и обработки запросов?
 
 Top
OrmaJever Модератор
Отправлено: 29 Февраля, 2012 - 22:21:05
Post Id



Активный участник


Покинул форум
Сообщений всего: 7540
Дата рег-ции: Янв. 2010  
Откуда: Чернигов


Помог: 299 раз(а)
Это зависит от того что имено может прийти, например если это несколько статических значений то можно создать масив и проверять этот параметр на присуцтвие в масиве, если это какая-то динамическая строка то регулярное выражение, ну а если вобще может быть что угодно то фильтровать по мере надобности
1) Если даные заносятся в базу то mysql_escape_string() или аналог mysqli.
2) Если даные выводятся на страницу то htmlspecialchars()
Эта 2 самых основных варианта, а вобще зависит от сутации, через какие функции эти даные будут проходить, куда деватся.


-----
Если вы хотя бы 3-4 раза не решите всё выкинуть и начать заново - вы явно что-то делаете не так.
 
 Top
daglas1
Отправлено: 29 Февраля, 2012 - 22:25:58
Post Id


Посетитель


Покинул форум
Сообщений всего: 329
Дата рег-ции: Июль 2011  


Помог: 1 раз(а)
OrmaJever пишет:
Это зависит от того что имено может прийти, например если это несколько статических значений то можно создать масив и проверять этот параметр на присуцтвие в масиве, если это какая-то динамическая строка то регулярное выражение, ну а если вобще может быть что угодно то фильтровать по мере надобности
1) Если даные заносятся в базу то mysql_escape_string() или аналог mysqli.
2) Если даные выводятся на страницу то htmlspecialchars()
Эта 2 самых основных варианта, а вобще зависит от сутации, через какие функции эти даные будут проходить, куда деватся.

Спасибо за ответы. пока структура запроса такая gd.php?login=user11111&pass=pass11111
Данные не заносятся в бд, а только идет проверка на наличие в БД юзеров с такими позывными. Т.е. только два входящих параметра. А как это все дело можно зашифровать так чтобы я потом мог на серверной стороне расшифровать.
 
 Top
OrmaJever Модератор
Отправлено: 29 Февраля, 2012 - 23:04:14
Post Id



Активный участник


Покинул форум
Сообщений всего: 7540
Дата рег-ции: Янв. 2010  
Откуда: Чернигов


Помог: 299 раз(а)
Ну вобще важные даные отправляются методом post, и зашифровывать впринципе ничего не надо.


-----
Если вы хотя бы 3-4 раза не решите всё выкинуть и начать заново - вы явно что-то делаете не так.
 
 Top
Поиск в теме | Версия для печати
Страниц (1): [1]
Сейчас эту тему просматривают: 0 (гостей: 0, зарегистрированных: 0)
« Вопросы новичков »


Все гости форума могут просматривать этот раздел.
Только зарегистрированные пользователи могут создавать новые темы в этом разделе.
Только зарегистрированные пользователи могут отвечать на сообщения в этом разделе.
  



Powered by PHP  Powered By MySQL  Powered by Nginx  Valid CSS  RSS

 
Powered by ExBB FM 1.0 RC1. InvisionExBB