HOME FORUMS MEMBERS RECENT POSTS LOG IN  
× Авторизация
Имя пользователя:
Пароль:
Нет аккаунта? Регистрация
Баннер 1   Баннер 2
НОВЫЕ ТОРГОВАЯ НОВОСТИ ЧАТ
loading...
Скрыть
Вернуться   ANTICHAT > ПРОГРАММИРОВАНИЕ > PHP
Перезагрузить страницу Статья про анти sql-inj
   
Ответ
Страница 6 из 12 « Первая < 2 3 4 5 6 7 8 9 10 > Последняя »
 
Опции темы Поиск в этой теме Опции просмотра

  #1  
Старый 02.02.2008, 01:14
DIAgen
Познавший АНТИЧАТ
Регистрация: 02.05.2006
Сообщений: 1,191
С нами: 10539746

Репутация: 1276


По умолчанию
FraiDex
Цитата:
НИЧЕГО фильтровать не надо. СУБД - на то она и СУБД, а не херня какая-то, чтобы нормально любые данные принимать.
𝕏 Twitter Reddit Telegram Копировать ссылку
 
Ответить с цитированием

  #2  
Старый 02.02.2008, 01:17
FraiDex
Участник форума
Регистрация: 16.06.2006
Сообщений: 179
С нами: 10475029

Репутация: 135
По умолчанию
фаг.. но ведь вё равно принимает. спецсимволы она не фильтрует
 
Ответить с цитированием

  #3  
Старый 02.02.2008, 01:31
DIAgen
Познавший АНТИЧАТ
Регистрация: 02.05.2006
Сообщений: 1,191
С нами: 10539746

Репутация: 1276


По умолчанию
Цитата:
Сообщение от FraiDex  
фаг.. но ведь вё равно принимает. спецсимволы она не фильтрует
Цитата:
mysql_real_escape_string -- Экранирует специальные символы в строках для использования в выражениях SQL
Достаточно прогонять текстовые переменные по даной функции и больше не чего не надо
PHP код:
    function secure_sql($value) {
        if( get_magic_quotes_gpc()) {
            $value stripslashes$value );
        }
        if( function_exists"mysql_real_escape_string" )) {
            $value mysql_real_escape_string$value );
        } else {
            $value addslashes$value );
        }
        return $value;
    } 
 
Ответить с цитированием

  #4  
Старый 26.02.2008, 03:17
Isis
Флудер
Регистрация: 20.11.2006
Сообщений: 3,315
С нами: 10248806

Репутация: 2371


По умолчанию
Цитата:
Сообщение от DIAgen  


Достаточно прогонять текстовые переменные по даной функции и больше не чего не надо
PHP код:
    function secure_sql($value) {
        if( get_magic_quotes_gpc()) {
            $value stripslashes$value );
        }
        if( function_exists"mysql_real_escape_string" )) {
            $value mysql_real_escape_string$value );
        } else {
            $value addslashes$value );
        }
        return $value;
    } 
На вид большая функция а =\\

1) Зачем цифры переводить через эту функцию?
Достаточно
PHP код:
<?php
$xek intval($xek);
?>
2) Оох... где-то еще есть серваки с пхп 3 чтобы делать поверку на существование функции mysql_real_escape_string ?

3) mysql_real_escape_string не экранирует символы % и _ также как mysql_escape_string что будет багой например при %LIKE% .....
Поэтому достаточно написать свою функцию в 3 строки с реплейсом % и _ на \%, \_ ну и mysql_real_escape_string
 
Ответить с цитированием

  #5  
Старый 14.04.2008, 22:58
neval
Moderator - Level 7
Регистрация: 13.12.2006
Сообщений: 531
С нами: 10215686

Репутация: 383


По умолчанию
Цитата:
Сообщение от Isis  
На вид большая функция а =\\

1) Зачем цифры переводить через эту функцию?
Достаточно
PHP код:
<?php
$xek intval($xek);
?>

зри в корень )
Цитата:
Сообщение от DIAgen

Достаточно прогонять текстовые переменные по даной функции и больше не чего не надо
 
Ответить с цитированием

  #6  
Старый 02.10.2008, 17:10
nerezus
Флудер
Регистрация: 12.08.2004
Сообщений: 3,791
С нами: 11444066

Репутация: 2290


По умолчанию
Могу скинуть свою обертку для запросов. Нужно?
На самом деле это боян, обертка типа.
 
Ответить с цитированием

  #7  
Старый 19.09.2009, 13:39
aleksej_sumarok
Новичок
Регистрация: 19.09.2009
Сообщений: 1
С нами: 8760058

Репутация: 0
По умолчанию
Цитата:
Сообщение от nerezus  
Могу скинуть свою обертку для запросов. Нужно?
На самом деле это боян, обертка типа.
Если не трудно скинь пожалуйста
 
Ответить с цитированием

  #8  
Старый 04.09.2009, 20:19
Krist_ALL
Banned
Регистрация: 14.01.2009
Сообщений: 515
С нами: 9116877

Репутация: 468


По умолчанию
Mysql_real_escape_string не спасет от слепых инекций.
 
Ответить с цитированием

  #9  
Старый 04.09.2009, 20:21
.Slip
Leaders of Antichat - Level 4
Регистрация: 16.01.2006
Сообщений: 1,966
С нами: 10692266

Репутация: 3486


По умолчанию
Цитата:
Сообщение от Krist_ALL  
Mysql_real_escape_string не спасет от слепых инекций.
А не от слепых спасает?:о
 
Ответить с цитированием

  #10  
Старый 27.09.2009, 21:59
Pashkela
Динозавр
Регистрация: 10.01.2008
Сообщений: 2,841
С нами: 9649706

Репутация: 3338


По умолчанию
в топике ничего не упомянуто об:

1. реферере
2. сессии
3. прочие "особые" моменты

))

Практически никто этого не обрабатывает, если говорить про фул_паф_дискложен
 
Ответить с цитированием
Ответ
Страница 6 из 12 « Первая < 2 3 4 5 6 7 8 9 10 > Последняя »



« Предыдущая тема | Следующая тема »


Здесь присутствуют: 2 (пользователей: 0 , гостей: 2)
 


Быстрый переход




ANTICHAT ™ © 2001- Antichat Kft.