Помощь по скриптам | Раздуплите немного


Автор
Учусь на программиста, так что понадобится, объясните подробнее по поводу дыр в php. Что это, как их найти и как закрыть?
________
посл. ред. 01.11.2021 в 20:26; всего 1 раз(а); by Joker
________
посл. ред. 01.11.2021 в 20:26; всего 1 раз(а); by Joker
https://adminvps.ru/blog/5-uyazvimostej-php-bezopasnosti/
Спроси у Google.
Спроси у Google.
Joker, учусь на математика, что такое таблица умножения?
ПыСы. Почему бы такой вопрос не задавать на парах?
ПыСы. Почему бы такой вопрос не задавать на парах?
Joker (01.11.2021 в 20:25)
Учусь на программиста, так что понадобится, объясните подробнее по поводу дыр в php. Что это, как их найти и как закрыть?
Учусь на программиста, так что понадобится, объясните подробнее по поводу дыр в php. Что это, как их найти и как закрыть?
sql inj, xss, руками
________
посл. ред. 02.11.2021 в 09:50; всего 1 раз(а); by ГАСКОНЕЦ
Вот тебе учебник по PHP, лучше в сети не найдешь. ТЫК
в БД таблица Post имеет запись
id: 1
text: <script>alert("XSS")</script>
выборка:
________
посл. ред. 02.11.2021 в 12:44; всего 1 раз(а); by Вилы Выкидные
id: 1
text: <script>alert("XSS")</script>
выборка:
$id = filter_input(INPUT_GET, 'id', FILTER_VALIDATE_INT);
if(!id) {
throw new InvalidArgumentException('Вы не ввели или неправильно ввели данные');
}
?>
<div><?= htmlspecialchars(Post::findOne($id)->text) ?></div>
________
посл. ред. 02.11.2021 в 12:44; всего 1 раз(а); by Вилы Выкидные
Пупсь Сайбот (02.11.2021 в 09:49)
Joker, учусь на математика, что такое таблица умножения?
ПыСы. Почему бы такой вопрос не задавать на парах?
Joker, учусь на математика, что такое таблица умножения?
ПыСы. Почему бы такой вопрос не задавать на парах?
Засмеют
Дыркокод:
mysql_query("SELECT name FROM table WHERE name = '".$_POST['name']."'");
Потенциально уязвимый говнокод:
mysql_query("SELECT name FROM table WHERE name = '".mysql_real_escape_string($_POST['name'])."'");
Адекватный код:
$pdo->query("SELECT name FROM table WHERE name = ?", $_POST['name']);
________
посл. ред. 02.11.2021 в 12:38; всего 2 раз(а); by Java_Script
mysql_query("SELECT name FROM table WHERE name = '".$_POST['name']."'");
Потенциально уязвимый говнокод:
mysql_query("SELECT name FROM table WHERE name = '".mysql_real_escape_string($_POST['name'])."'");
Адекватный код:
$pdo->query("SELECT name FROM table WHERE name = ?", $_POST['name']);
________
посл. ред. 02.11.2021 в 12:38; всего 2 раз(а); by Java_Script
Java_Script,
XSS для тебя шутка?
Адекватный код:
$pdo->query("SELECT name FROM table WHERE name = ?", $_POST['name']);
$pdo->query("SELECT name FROM table WHERE name = ?", $_POST['name']);
XSS для тебя шутка?