KATSTAT.RU-ТОП РЕЙТИНГ САЙТОВ С ОТДАЧЕЙ
Твой 2007
WorldByte - Наш хостинг - партнер
PHP/MySQL | норм защита от sql inj или не
Топ дня: NSA
_(Ulty)_ , а, ну да, в казне если только пригодится абс
Kira Schwarz (12 мая 2024, в 21:37)
_(Ulty)_ , а, ну да, в казне если только пригодится абс
Если проект расчитан на то, что не будет работать с отрицательными числами, то используют заочно абс
________
посл. ред. 12.05.2024 в 21:42; всего 1 раз(а); by _(Ulty)_
_(Ulty)_ (12 мая 2024, в 20:44)
Kira Schwarz , mysql_real_escape_string перед работой с базой (лучше использовать mysqli или PDO, в которых есть предподготовленные запросы MySqli | PDO)
Дабы избежать XSS пишут свои функции фильтрации, что бы убирать вредные символы, но многие используют при выводе htmlspecialchars или strip_tags

Фильтрацию чисел так же выполняют по разному:
Регулярными выражениями
https://regex101.com/r/7B3nvn/1

filter_var FILTER_SANITIZE_NUMBER_INT
Кто-то использует abs(intval($number))

А ещё есть смысл почитать статью касаемо CSRF атаки и о способах защиты
Так, от иньекций избавился, от хсс избавился, терь от csrf уязвимостей над избавляться оаоааоа, и как это делать? Я как понял надо куки защитить созданием каких нить сессий или типо того, такая важная тема, а в инете она так слабо раскрыта, может есть у кого рабочий код или ссылка на рабочий скрипт/код где норм защищены куки
Или ну его нахер, кто додумаетс в браузерную игру csfr атаку мутить, это вообще возможно куки украсть без хсс уязвимостей на сайте?:0
d1nka (12 мая 2024, в 19:37)
php
function jopa2($str) {

     $str = intval($str);

     return $str;

 }

это реально жопа2.)
очень редко с тобой соглашаюсь но это реально полный бред .prisoner.

trim() в этой всей песне выглядит особенно прекрасно
Kira Schwarz (12 мая 2024, в 18:59)
php
function jopa($str) {

    $str = filter_var(trim($str), FILTER_SANITIZE_STRING);

    return $str;

}


норм защита строк от скл иньекций mysql на php 5.6 или неочень, не сильно шарю в безопасности...

еще такйо вариант есть, но хз в чем разница:

php
function jopa($str) {

    $str = mysql_real_escape_string($str);

    return $str;

}


//////////////////
для чисел тоже не могу выбрать фичу из двух какая круче:
1)
php
function jopa2($str) {

    $str = filter_var(trim($str), FILTER_SANITIZE_NUMBER_INT);

    return $str;

}

или
2)
php
function jopa2($str) {

    $str = intval($str);

    return $str;

}
неправильное применение фильтров, ты не проверяешь данные, ты из очищаешь и зачем-то приводишь к другому типу

базе данных похер такие очистки в БД всё залетает в виде СТРОК

очищать нужно при выводе в браузер и то на любителя, если не хочешь XSS чтобы балдели на страницах, XSS не выполняется в БД, строка хранится в том же виде
Раньше было как-то проще, просто открываешь код дцмс и смотришь как там всё фильтруется)
https://snipp.ru/php/clear-form

Почитай на досуге. Тут уже готовый класс который можно юзать у себя в проекте
Я использую стандартные фильтры из дцмс
Вилы Выкидные (22 июня 2024, в 9:03)
неправильное применение фильтров, ты не проверяешь данные, ты из очищаешь и зачем-то приводишь к другому типу

базе данных похер такие очистки в БД всё залетает в виде СТРОК

очищать нужно при выводе в браузер и то на любителя, если не хочешь XSS чтобы балдели на страницах, XSS не выполняется в БД, строка хранится в том же виде
Покажи как надо. Как раз ищу норм зашиту от SQL inj*friends*
Стр.: 1, 2, 3
Форум На главную
Онлайн: 1
Время:
Gen. 0.1255
(c) Bym.Guru 2010-2025