|
Защита от SQL инекций
Добрый день.
Взгляните на код запроса пожалуйста. Достаточно ил таких проверок для устранения угрозы? $strquery = "SELECT * FROM `topics` WHERE `id`='%d'"; $query = sprintf($strquery,mysql_real_escape_string($_GET[id])); |
Ё, чувак, как ты умудрился заработать такую карму(-751)?
|
firstchild,
Наверное такой результат потому, что я её не зарабатывал.Ё |
во-первых, такое впечатление, что ты все свои знания вложил в эту строку, лишь бы как-нибудь чего-нибудь не просочилось. Это называется уличная магия. В данном случае достаточно убрать все нечисловые символы либо проверить их наличие. Во-вторых, не надо сравнивать со строковым значением, если столбец численный. В-третьих, используй фреймворки
|
|
вы, конечно, можете сказать, что int'а в любом случае хватит. Но я бы сделал лучше, если тип столбца не помещается в int. Потому что это не сложно: либо is_numeric, либо filter_var('122312147483648', FILTER_SANITIZE_NUMBER_INT). Хотя возможно бд и к числу в виде строки адекватно отнесется, надо проверять
|
Цитата:
|
Прекрасно.
|
Цитата:
|
Цитата:
|
| Часовой пояс GMT +3, время: 03:15. |
|