Bymas | Уязвимости sql/get/post

Топ дня:

dinamko

Тема закрыта by

СУЗУНЭ ХОРИКИТА
Причина: Решено.

e.n.[Z].z.o , а если просто сесион ид заменить на $account['id']

Asuna (16.06.2020 в 17:58)
e.n.[Z].z.o , а если просто сесион ид заменить на $account['id']

Тогда все норм, можно и сессию, но отфильтровать через abs(intval($_SESSION['id']))

e.n.[Z].z.o , Кроме сессии еще что ?

e.n.[Z].z.o , просто $account есть в ядре с этой проверкой, просто иногда удобней сессию писать а не account)

Asuna (16.06.2020 в 18:00)
e.n.[Z].z.o , Кроме сессии еще что ?

Все данные которые приходят от пользователя. Данные которые получаешь из скрипта или в результате каких-либо вычислений, фильтровать не надо

e.n.[Z].z.o , то беж все что связанно с постами нужно фильтровать так?

NOeasyKiDD (16.06.2020 в 17:24)
Asuna , Я Не знаток в этом деле, Get post фильтруй...
И забудь mysql хотя-бы переходи на mysqli. Могу скрипт дать который автоматом перепишет.

Можешь мне скинуть ?

Asuna (16.06.2020 в 18:01)
e.n.[Z].z.o , просто $account есть в ядре с этой проверкой, просто иногда удобней сессию писать а не account)

Я не знаю откуда переменная $account, но если ты ее получаешь с базы данных, то фильтровать не надо. Если же с сессии, то фильтруй

e.n.[Z].z.o ,

php

   if(isset($_SESSION['auth']) && $_SESSION['auth']==1){ $account = mysql_fetch_array(mysql_query("SELECT * FROM `account` WHERE id='".$_SESSION['id']."'"));

Asuna (16.06.2020 в 18:04)
e.n.[Z].z.o , то беж все что связанно с постами нужно фильтровать так?

Цифры фильтруешь через abs(intval($var)), текст уже по разному, смотря что тебе нужно. В твоём случае достаточно mysql_real_escape_string