work-shop.lv forums »
Programmēšana »
Formu drošība |
Friiks
Svētdien, 14. aprīlī, 15:50
|
Gribēju pajautāt, kā padarīt savas formas drošākas, jo mācoties PHP neesmu īpašu vērību pievērsis tieši lapu drošībai pret uzbrukumiem. Parasti lietoju mysql_real_escape_string() priekš kverijiem, addslashes(),strip_tags() un htmlspecialchars(). Cik zinu pret MySQL injection tam vajadzētu pasargāt, bet neesmu īsti pārliecināts tākā lūdzu no flaming at me :S |
nitrino |
Svētdien, 14. aprīlī, 16:20 |
Itkā diezgan pieteikami. addslashes() nerekomendē izmantot, mysql_real_escape_string un pg_escape_string labāk tiek galā.
strip_tags vai htmlspecialchars... nu es principā tikai special chars lieku, lai uz ekrāna rādās tas, ko uzeris ievadīja, pat ja viņš tur mēģināja <span style="color:red">test</span>. Ja no formas 100% jānāk tikai cipariskā vērtība (piem categoryid), tad jāliek ir intval(). pārējos gadījumos - htmlspecialchars. |
cherijs |
Svētdien, 14. aprīlī, 21:04 |
lai liktu iekshaa datubaazee pietiks ar mysql_real_escape_string(), izvadot araa datus lieto htmlspecialchars |
Jums jābūt reģistrētam lietotājam, lai rakstītu atbildes. |
|