Ez a kód elegendő MySQL injection típusú támadások ellen?
function check_input($value)
{
// Stripslashes
if (get_magic_quotes_gpc())
{
$value = stripslashes($value);
}
// Quote if not a number
if (!is_numeric($value))
{
$value = mysql_real_escape_string($value);
}
return $value;
}
válasza:A PDO mysql jobban véd,de az sem árt,ha valamivel elemezed a kapott választ. Én mondjuk eleve kihajítok minden select ,insert,delete cuccost a kapott paraméterekből.
De kíváncsi vagyok más mit ír.
válasza:PDO vagy paraméterezett mysqli.
Ennél jobb megoldás nincs, ráadásul gyorsabb is kicsit, hanem szórakozol kézzel a stringek vizsgálatával.
válasza: válasza: válasza:Ha olyan jellegű a mező, akkor helyettesítsd valamivel ki és beíráskor:
×ߤ÷;* = select
*;ß÷× = insert
Ha nem német nyelvterületre készül, akkor a delete pl helyettesíthető a Fremdsprachenkorrespondent szóval is :D
válasza:Amúgy kérdésre is válaszolva, elegendő lehet.
Nagyobb gondot jelenthet más logikai hiba. :-)
válasza:pl. ellenőrizetlen upload script.
Vagy, ha van admin része, jogok cookie -ben történő tárolása, vagy admin fájlok natív elérhetőek, ezek tipikus hibák, és még nagy ZRT -nél is láttam ilyenre példát.
Kapcsolódó kérdések:
Minden jog fenntartva © 2024, www.gyakorikerdesek.hu
GYIK | Szabályzat | Jogi nyilatkozat | Adatvédelem | Cookie beállítások | WebMinute Kft. | Facebook | Kapcsolat: info(kukac)gyakorikerdesek.hu
Ha kifogással szeretne élni valamely tartalommal kapcsolatban, kérjük jelezze e-mailes elérhetőségünkön!