Dinamikusan generált sql lekérdezésnél, mi a legjobb védekezés sql injection attack ellen (PHP)?
Figyelt kérdés
Oké hogyha ne mdinamikus az sql lekérdezés, akkor jó módszer a prepared statement. Érdemes a felhasználó által bekért adatokra rárakni egy szűrést, amivel mondjuk kiszűrjük a nem kívánatos karaktereket/szavakat, pl: ; drop, select, insert, delet stb..?2021. jan. 13. 15:54
1/13 anonim válasza:
Igen, de ne kézzel csináld. Van rá függvény: [link]
2/13 A kérdező kommentje:
Még egy PHP-val kapcsolatos kérdés:
Az adatbázis adatok: felhasználó jelszó stb.. tárolásával kapcsolatban olvastam, hogy érdemes külön file-ban tárolni ezeket az adatokat, és egy szinttel feljebb mint ahol az index.php van. Na de ahol én vettem tárhelyet, ott nincs egy szinttel feljebb lépési lehetőség, mert az index.php van legfelül. Ilyenkor mi legbiztonságosabb módja az adatok tárolásának??
2021. jan. 13. 16:05
3/13 anonim válasza:
csinalsz egy public foldert az index-nek, es maris lesz egy szintel feljebb, monjuk lehet tok mindegy mert shared hostingon root nelkul nem tudsz mappa jogosultsagokat allitani
4/13 A kérdező kommentje:
És miért lenne veszélyes ha pl az index.php-ba lenne belekódolva? Tudtommal a php kód nem látszik a felhasználónak!?
2021. jan. 13. 18:12
5/13 anonim válasza:
Nem értem miért ragadnak le az emberek a "régi" implementációnál.
PDO-t használj és prepared SQL ?-jel helyére egy paraméter listát kell megadni. Az alapból levédi az SQL injeciók ellen.
- ezt megspórolod: [link]
B verzió) Használj valami ORM-et.
6/13 A kérdező kommentje:
De dinamikus sql lekérdezésnél úgy tudom nem igazán lehet prepared sql-t haszálni
2021. jan. 13. 18:15
7/13 anonim válasza:
Mit értesz "dinamikus sql" alatt?
8/13 A kérdező kommentje:
Hát c#-ban csináltam már olyat, hogy különböző felhasználói beállításoknak megfelelően generálta le a szoftver az sql lekérdezést, akár ciklus segítségével stb.. és egy jókora sql lekérdezés lett belőle na most abból prepared sql-t generálni hát ember legyen a talpán, ha egyáltalán megvalósítható. De ilyenkor ugye a feltételek változhatnak, több tábla union, joinok stb..
2021. jan. 13. 18:26
9/13 anonim válasza:
Szerintem az ilyen "generált" SQL-el idővel karbantarthatatlanná teszik a rendszert. Nincs strukturálva, hogy mi-mit hív. Szerintem a tervezési koncepció nem az igazi. Én áttervezném.
10/13 A kérdező kommentje:
Nincsen még kész, nekem erre régen volt szükség adatok lekérdezésére szűrésére stb.., csak ha a jövőben kéne ilyen..
2021. jan. 13. 19:34
Kapcsolódó kérdések:
Minden jog fenntartva © 2025, www.gyakorikerdesek.hu
GYIK | Szabályzat | Jogi nyilatkozat | Adatvédelem | Cookie beállítások | WebMinute Kft. | Facebook | Kapcsolat: info(kukac)gyakorikerdesek.hu
A weboldalon megjelenő anyagok nem minősülnek szerkesztői tartalomnak, előzetes ellenőrzésen nem esnek át, az üzemeltető véleményét nem tükrözik.
Ha kifogással szeretne élni valamely tartalommal kapcsolatban, kérjük jelezze e-mailes elérhetőségünkön!
Ha kifogással szeretne élni valamely tartalommal kapcsolatban, kérjük jelezze e-mailes elérhetőségünkön!