PHP/MySQL | Внимание Иньекция!
NSA 
Master zpank terad1m (20.12.2018 в 20:37)
Master zpank (20.12.2018 в 20:35)
Можно вообще переписать код и тем самым избавиться от паранойи что кому-то нужно ломать твой сайт
Та мне саи факт безопасности важен.
Master zpank (20.12.2018 в 20:35)
Можно вообще переписать код и тем самым избавиться от паранойи что кому-то нужно ломать твой сайт
Та мне саи факт безопасности важен.
Думаю этого достаточно
function filtr($msg)
{
global $db;
$msg = htmlspecialchars(trim($msg), ENT_QUOTES, 'UTF-8');
$msg = $db->real_escape_string($msg);
return $msg;
}
а так я считаю что дырки нету
[Brony] pimnik98
нет там дырки, просто криворукость, кто его фильтрировал!
Надо понимать, для чего intval(int), для чего htmlspecialchars, и для чего real_escape_string
И для чего trim существует.
Каждую функцию отдельно погугли
________
посл. ред. 20.12.2018 в 21:01; всего 1 раз(а); by RUS
RUS И для чего trim существует.
Каждую функцию отдельно погугли
________
посл. ред. 20.12.2018 в 21:01; всего 1 раз(а); by RUS
abs(intval()); не не слышал 
Four
Тут не то что дырки нет , тут даже если с пушки ядром запустить , фиговая туча фильтров не даст пробиться .
Идиотизм , достаточно ескейп сринг
Trec80 Идиотизм , достаточно ескейп сринг
Master zpank (20.12.2018 в 20:45)
terad1m (20.12.2018 в 20:37)
Master zpank (20.12.2018 в 20:35)
Можно вообще переписать код и тем самым избавиться от паранойи что кому-то нужно ломать твой сайт
Та мне саи факт безопасности важен.
Думаю этого достаточно
function filtr($msg)
{
global $db;
$msg = htmlspecialchars(trim($msg), ENT_QUOTES, 'UTF-8');
$msg = $db->real_escape_string($msg);
return $msg;
}
terad1m (20.12.2018 в 20:37)
Master zpank (20.12.2018 в 20:35)
Можно вообще переписать код и тем самым избавиться от паранойи что кому-то нужно ломать твой сайт
Та мне саи факт безопасности важен.
Думаю этого достаточно
function filtr($msg)
{
global $db;
$msg = htmlspecialchars(trim($msg), ENT_QUOTES, 'UTF-8');
$msg = $db->real_escape_string($msg);
return $msg;
}
real_escape_string достаточно , для чисел используй intval Илии int
По называнию тему я думал что на бумасе нашли и хочет торговатся 
terad1m (20.12.2018 в 20:09)
Спорят два человека:
Один удтвержадет, что код не дырка, второй наоборот.
Вот код
Ну так вот ,знающие, как тут провернуть sql-inj?
Спорят два человека:
Один удтвержадет, что код не дырка, второй наоборот.
Вот код
function text($a){
global $mysqli;
return $mysqli->real_escape_string(htmlspecialchars(trim($a)));
}
//Получаем id
$id=text($_GET['id']);
//Потом сверяем с базой.
$user=fetch("SELECT * FROM `user` WHERE `id`='$id'");
*fetch - заранее готовая функция для работы с БД.
Ну так вот ,знающие, как тут провернуть sql-inj?
думаю инъекция есть. т.к это фильтры не для гет
________
посл. ред. 20.12.2018 в 21:53; всего 1 раз(а); by Челябинский
