PHP/MySQL | норм защита от sql inj или не
function jopa($str) {
$str = filter_var(trim($str), FILTER_SANITIZE_STRING);
return $str;
}норм защита строк от скл иньекций mysql на php 5.6 или неочень, не сильно шарю в безопасности...
еще такйо вариант есть, но хз в чем разница:
function jopa($str) {
$str = mysql_real_escape_string($str);
return $str;
}//////////////////
для чисел тоже не могу выбрать фичу из двух какая круче:
1)
function jopa2($str) {
$str = filter_var(trim($str), FILTER_SANITIZE_NUMBER_INT);
return $str;
}или
2)
function jopa2($str) {
$str = intval($str);
return $str;
}
Kira Schwarz (12 мая 2024, в 18:59)function jopa($str) {
$str = filter_var(trim($str), FILTER_SANITIZE_STRING);
return $str;
}норм защита строк от скл иньекций mysql на php 5.6 или неочень, не сильно шарю в безопасности...
еще такйо вариант есть, но хз в чем разница:
function jopa($str) {
$str = mysql_real_escape_string($str);
return $str;
}//////////////////
для чисел тоже не могу выбрать фичу из двух какая круче:
1)
function jopa2($str) {
$str = filter_var(trim($str), FILTER_SANITIZE_NUMBER_INT);
return $str;
}или
2)
function jopa2($str) {
$str = intval($str);
return $str;
}function jopa2($str) {
$str = intval($str);
return $str;
}это реально жопа2.)
d1nka , intval так плох тоесть:0
нет.) ты просто функцию эту глянь свою, и подумай немного, что ты делаешь ее?
d1nka , аа, ну да я по приколу засунул ее в функцию для этой темы хдхд
Kira Schwarz , mysql_real_escape_string перед работой с базой (лучше использовать mysqli или PDO, в которых есть предподготовленные запросы MySqli | PDO)Дабы избежать XSS пишут свои функции фильтрации, что бы убирать вредные символы, но многие используют при выводе htmlspecialchars или strip_tags
Фильтрацию чисел так же выполняют по разному:
Регулярными выражениями
https://regex101.com/r/7B3nvn/1
filter_var FILTER_SANITIZE_NUMBER_INT
Кто-то использует abs(intval($number))
А ещё есть смысл почитать статью касаемо CSRF атаки и о способах защиты
________
посл. ред. 12.05.2024 в 20:53; всего 2 раз(а); by _(Ulty)_
_(Ulty)_ , а, типо надо еще от каких то xss уязвимостей защиту ставить..
function jopa($str) {
$str = mysql_real_escape_string(htmlspecialchars(trim($str)));
return $str;
}вот так норм защита строк будет?
Kira Schwarz (12 мая 2024, в 21:25) _(Ulty)_ , а, типо надо еще от каких то xss уязвимостей защиту ставить..
function jopa($str) {
$str = mysql_real_escape_string(htmlspecialchars(trim($str)));
return $str;
}вот так норм защита строк будет?
_(Ulty)_ , а насчет защиты чисел, не понял для чего abs в intval'е, он же чистит отрицательные числа которые могут быть необходимы если кому нить в игре баланс отрицательный забабахать
Kira Schwarz (12 мая 2024, в 21:29) _(Ulty)_ , а насчет защиты чисел, не понял для чего abs в intval'е, он же чистит отрицательные числа которые могут быть необходимы если кому нить в игре баланс отрицательный забабахать На примере игр опишу ситуацию:
Заходят в локацию пополнения казны клана и вписывают отрицательное значение.
А когда делают запрос на добавление в клан этих денег происходит такая ситуация
UPDATE `clans` SET `money` = `money` + '-100000000' WHERE `id` = '1'
UPDATE `users` SET `money` = `money` - '-100000000' WHERE `id` = '1'
По итогу из клана вычитаются средства
А у пользователя минус на минус даёт плюс, тоесть начисляются средства в место списания
