TAPAKAH2 Опубликовано 3 Июля 2006 Жалоба Поделиться Опубликовано 3 Июля 2006 Пишу движок для сайта и столкнулся с одной маленькой проблемкой:Я хочу сделать вызов определённый статей по именам например 1.php?page=porscheФайл: 1.php (примерчик небольшой):<? $name=$_GET['page']; $DB->query("SELECT * FROM s_pages WHERE name=".$name.";"); ?>Но данный запрос с точки зрения безопастности нулевой.Вопрос в следующем как можно обезопасить себя от взлома используя имена страниц, а не порядковые номера (id)? Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Anna Опубликовано 3 Июля 2006 Жалоба Поделиться Опубликовано 3 Июля 2006 если в настройках php опция magic_quotes включена, то никаких проблем быть не должно, если брать:$name = $ibforums->input['page']; в противном случае:$name = addslashes($ibforums->input['page']); Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Arhar Опубликовано 3 Июля 2006 Жалоба Поделиться Опубликовано 3 Июля 2006 да зачем этот гемор с настройками, когда можно просто strlen'ом ограничить переменную name:<? $name=$_GET['page']; if (strlen($name) < 7) //допустим максимальная длина имени статьи равна 7, врядли можно составить УБИЙСТВЕННЫЙ запрос из 7 символов { $DB->query("SELECT * FROM s_pages WHERE name=".$name.";"); } ?> Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Garret Опубликовано 3 Июля 2006 Жалоба Поделиться Опубликовано 3 Июля 2006 Лучше полностью обезопасится, даже чтобы Ерроры не выкидывало, написать класс для работы с БД и там эксепшены отлавливать... Это конечно заумно, а как не заумно сделать, я уже написал на Сисмане. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Anna Опубликовано 3 Июля 2006 Жалоба Поделиться Опубликовано 3 Июля 2006 Гениально! Вот и пришел конец SecurityLab : Arhar придумал универсальный метод защиты от SQL интъекций Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Song Опубликовано 3 Июля 2006 Жалоба Поделиться Опубликовано 3 Июля 2006 Архар жжот Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Garret Опубликовано 3 Июля 2006 Жалоба Поделиться Опубликовано 3 Июля 2006 Не просто жжот, а не по деццки! %) Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
TAPAKAH2 Опубликовано 5 Июля 2006 Автор Жалоба Поделиться Опубликовано 5 Июля 2006 Всем спасиб, выход нашли ... Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Рекомендуемые сообщения
Присоединиться к обсуждению
Вы можете ответить сейчас, а зарегистрироваться позже. Если у вас уже есть аккаунт, войдите, чтобы ответить от своего имени.