PHP/MySQL | норм защита от sql inj или не
php
function jopa($str) { $str = filter_var(trim($str), FILTER_SANITIZE_STRING); return $str; } php
function jopa($str) { $str = mysql_real_escape_string($str); return $str; } php
function jopa2($str) { $str = filter_var(trim($str), FILTER_SANITIZE_NUMBER_INT); return $str; } php
function jopa2($str) { $str = intval($str); return $str; } 
Kira Schwarz (12 мая 2024, в 18:59) php
function jopa($str) { $str = filter_var(trim($str), FILTER_SANITIZE_STRING); return $str; } php
function jopa($str) { $str = mysql_real_escape_string($str); return $str; } php
function jopa2($str) { $str = filter_var(trim($str), FILTER_SANITIZE_NUMBER_INT); return $str; } php
function jopa2($str) { $str = intval($str); return $str; } php
function jopa2($str) { $str = intval($str); return $str; } 
d1nka , intval так плох тоесть:0
нет.) ты просто функцию эту глянь свою, и подумай немного, что ты делаешь ее?
d1nka , аа, ну да я по приколу засунул ее в функцию для этой темы хдхд
Kira Schwarz , mysql_real_escape_string перед работой с базой (лучше использовать mysqli или PDO, в которых есть предподготовленные запросы MySqli | PDO) Дабы избежать XSS пишут свои функции фильтрации, что бы убирать вредные символы, но многие используют при выводе htmlspecialchars или strip_tags
Фильтрацию чисел так же выполняют по разному:
Регулярными выражениями
https://regex101.com/r/7B3nvn/1
filter_var FILTER_SANITIZE_NUMBER_INT
Кто-то использует abs(intval($number))
А ещё есть смысл почитать статью касаемо CSRF атаки и о способах защиты
________
посл. ред. 12.05.2024 в 20:53; всего 2 раз(а); by _(Ulty)_
_(Ulty)_ , а, типо надо еще от каких то xss уязвимостей защиту ставить.. php
function jopa($str) { $str = mysql_real_escape_string(htmlspecialchars(trim($str))); return $str; } Kira Schwarz (12 мая 2024, в 21:25) _(Ulty)_ , а, типо надо еще от каких то xss уязвимостей защиту ставить.. php
function jopa($str) { $str = mysql_real_escape_string(htmlspecialchars(trim($str))); return $str; } _(Ulty)_ , а насчет защиты чисел, не понял для чего abs в intval'е, он же чистит отрицательные числа которые могут быть необходимы если кому нить в игре баланс отрицательный забабахать
Kira Schwarz (12 мая 2024, в 21:29) _(Ulty)_ , а насчет защиты чисел, не понял для чего abs в intval'е, он же чистит отрицательные числа которые могут быть необходимы если кому нить в игре баланс отрицательный забабахать На примере игр опишу ситуацию:
Заходят в локацию пополнения казны клана и вписывают отрицательное значение.
А когда делают запрос на добавление в клан этих денег происходит такая ситуация
UPDATE `clans` SET `money` = `money` + '-100000000' WHERE `id` = '1'
UPDATE `users` SET `money` = `money` - '-100000000' WHERE `id` = '1'
По итогу из клана вычитаются средства
А у пользователя минус на минус даёт плюс, тоесть начисляются средства в место списания