autorizācija

Reģistrācija

statistika

Pievienoti darbi: 464 (+0)
Pievienotās vakances: 36 (+0)
Aktīvie konkursi: 10 (+0)
Pašlaik portālā: 108
Reģistrēti lietotāji: + 107 viesi

Nejauši frīlanceri

atslēgvārdi

work-shop.lv forums

work-shop.lv forums » Programmēšana » Formu drošība
Friiks Friiks
Svētdien, 14. aprīlī, 15:50
Gribēju pajautāt, kā padarīt savas formas drošākas, jo mācoties PHP neesmu īpašu vērību pievērsis tieši lapu drošībai pret uzbrukumiem. Parasti lietoju mysql_real_escape_string() priekš kverijiem, addslashes(),strip_tags() un htmlspecialchars(). Cik zinu pret MySQL injection tam vajadzētu pasargāt, bet neesmu īsti pārliecināts tākā lūdzu no flaming at me :S
Itkā diezgan pieteikami. addslashes() nerekomendē izmantot, mysql_real_escape_string un pg_escape_string labāk tiek galā.

strip_tags vai htmlspecialchars... nu es principā tikai special chars lieku, lai uz ekrāna rādās tas, ko uzeris ievadīja, pat ja viņš tur mēģināja <span style="color:red">test</span>. Ja no formas 100% jānāk tikai cipariskā vērtība (piem categoryid), tad jāliek ir intval(). pārējos gadījumos - htmlspecialchars.
lai liktu iekshaa datubaazee pietiks ar mysql_real_escape_string(), izvadot araa datus lieto htmlspecialchars
Jums jābūt reģistrētam lietotājam, lai rakstītu atbildes.