istORik [Off] [#] (25.10.2011 / 00:10) |
istORik, Да сколько в базу поместится столько и фильтруй.выводить как хочешь можно.описания функций глянь что в этой функции используются и смотри надо тебе так выводить или нет.в принципе ничего стрЕсли я правильно понял смануала то, то что ты мне дал это как бы совмещение различных функций в одну?
То есть чтоб постоянно не писать каждую функцию, их совмещают как бы в одной функции, например как ты дал check?
istORik [Off] [#] (24.10.2011 / 23:54) |
istORik, $var = addslashes($var);
$var = stripslashes($var);
Зачем убирать их потом?
Возьми со ждона функцию check()
И можешь не боятся
Вот она:
[php] /*
--------------------------------Уговорил :-)
Слушай, с помощью этой функции можно фильтровать большой текст который в базу записывается? Если да, то потом можно и без фильтрации его выводить?
istORik [Off] [#] (24.10.2011 / 13:19) |
:кодер: а сам будешь быдлокодеромТы пра что?!
ДУХ [Off] [#] (24.10.2011 / 12:49) |
Изм. ДУХ (24.10.2011 / 12:49) [1]
istORik [Off] [#] (24.10.2011 / 12:16) |
istORik, $var = addslashes($var);
$var = stripslashes($var);
Зачем убирать их потом?
Возьми со ждона функцию check()
И можешь не боятся
Вот она:
[php] /*
--------------------------------Спасибо, но я тут сам пытаюсь химичить.
Учусь методом проб и ошибок, поэтому готовое выдирать не хочу.
Единственное что я НИКАК не могу найти и осилить это как сделать постраничную навигацию.
istORik [Off] [#] (24.10.2011 / 10:37) |
Есть такая функция обработки данных
function antihak($var) //Антихакер фильтрации:-) { return $var; }
С помощью данной функции принимаю все данные которые идут в таблицу, например данные
$login = antihak($_SESSION['login']); $password = antihak($_SESSION['password']); $id_user = antihak($_SESSION['id']);
идут в таблицу
Возможно ли тут сломать или сделать бяку?
john77 (SV!) [Off] [#] (14.12.2009 / 12:12) чморылое одоробло |
Это-же запросы к базе.Они соотносятсо к скрипту который построен на базе данных. ===== Принцип атаки внедрения SQL Допустим, серверное ПО, получив входной параметр id, использует его для создания SQL-В данном случае выручит intval()
LYCUK [Off] [#] (14.12.2009 / 10:33) |
http://www.youtube.com/watch?v ... BsIOY
LYCUK [Off] [#] (14.12.2009 / 10:32) |
=====
Принцип атаки внедрения SQL
Допустим, серверное ПО, получив входной параметр id, использует его для создания SQL-запроса. Рассмотрим следующий PHP-скрипт:
# Предыдущий код скрипта...
$id = $_REQUEST['id'];
$res = mysql_query("SELECT * FROM news WHERE id_news = $id");
# Следующий код скрипта...
Если на сервер передан параметр id, равный 5 (например так: http://example.org/script.php?id=5), то выполнится следующий SQL-запрос:
SELECT * FROM news WHERE id_news = 5
Но если злоумышленник передаст в качестве параметра id строку -1 OR 1=1 (например, так: http://example.org/script.php? ... R+1=1), то выполнится запрос:
SELECT * FROM news WHERE id_news = -1 OR 1=1
Таким образом, изменение входных параметров путём добавления в них конструкций языка SQL вызывает изменение в логике выполнения SQL-запроса (в данном примере вместо новости с заданным идентификатором будут выбраны все имеющиеся в базе новости, поскольку выражение 1=1 всегда истинно).
AxqpxA [Off] [#] (20.10.2009 / 20:16) хуйгомноебаллапатай |
AxqpxA [Off] [#] (20.10.2009 / 20:14) хуйгомноебаллапатай |
Дедушко_АнаниЙ [Off] [#] (20.10.2009 / 20:13) |
Дедушко_АнаниЙ, это я понял! я не понимаю разницы, если экранирова при записи, либо выводе Есть большая разница.
С необработанным текстом легче работать.
К примеру, надо тебе порезать на 200 символов. А вдруг, эта обрезка попадает на XHTML сущность, например, посередине & и вот тебе, ошибка XHTML.
---
Я на форуме JohnCMS смог полностью избавиться от этих ошибок только тогда, когда перевел на чистое хранение.
---
Ну а короткие тексты, типа названия статьи, или ника, или города, можно обрабатывать и на входе, разницы нет.
Дедушко_АнаниЙ [Off] [#] (20.10.2009 / 20:10) |
На форуме, данные хранятся так. как поступают от клиента, при записи обрабатываются реал_ескейпом, а при выводе htmlentities()
AxqpxA [Off] [#] (20.10.2009 / 20:10) хуйгомноебаллапатай |
Kolyan [Off] [#] (20.10.2009 / 20:07) |
Дедушко_АнаниЙ [Off] [#] (20.10.2009 / 20:06) |
Kolyan [Off] [#] (20.10.2009 / 20:05) |
echo '';
Дедушко_АнаниЙ [Off] [#] (20.10.2009 / 20:05) |
Когда принимаешь от клиента обрабатывай
$text = trim($_POST['text']);
это ты занес в переменную, но в базу еще добавлять нельзя, будет инъекция.
Перед добавлением нужно обработать:
$text = mysql_real_escape_string($text);
И все, инъекция уже не страшна.
---
А когда достаешь из базы и выводишь в браузер, нужно обработать htmlentities() или htmlspecialchars() чтоб хакеры не подпихнули всякую гадость.
И будет тебе счастье
AxqpxA [Off] [#] (20.10.2009 / 20:03) хуйгомноебаллапатай |
Речь идет о обработке данных посетителя ...Ну ...все равно идиот ( Зачем echo''; пихать в базу?еба! допустим сайт для мастеров! и вот кто то вставляет кусок кода, и там присутствует одинарная кавычка! логично?
AxqpxA [Off] [#] (20.10.2009 / 20:00) хуйгомноебаллапатай |