Autorius Tema: PHP POST kintamūjų apsaugojimas (Skaityta 165 kartus)

MariukasR · « **Įrašytas:** 2013-02-23 01:54:10 am »

Sveiki taigi, kuriu login sistemą ir labai bijau, kad gali kas nors pasinaudoti plikais mano kintamaisiais ir įsilaužti su sql injectionu į database..

Gal turi kokį f-ją pasidalint, kad galėčiau ir kitoms formoms apsaugoti kintamuosiu, beje būtų gerai dar ir GET kitamojo apsaugėlė

Ačiū už atsakymus

beje googleje nieko gero neradau.. rašiau how to secure php post variables ir t.t. :S

Modestas Vaitkevičius · « **Atsakymas #1 Įrašytas:** 2013-02-23 09:22:03 am »

https://www.google.lt/webhp?sourceid=chrome-instant&ion=1&ie=UTF-8#hl=lt&output=search&sclient=psy-ab&q=php%20avoid%20mysql%20injection&oq=&gs_l=&pbx=1&fp=9a5b97ebb0b1b044&ion=1&bav=on.2,or.r_gc.r_pw.r_cp.r_qf.&bvm=bv.42768644,d.Yms&biw=1920&bih=965

http://stackoverflow.com/questions/60174/how-to-prevent-sql-injection-in-php

Visas google pilnas atsakymų

Tiesa, jei naudoji mysql_* - mesk ją lauk

MariukasR · « **Atsakymas #2 Įrašytas:** 2013-02-23 13:17:05 pm »

Modestai, o ką patartum naudot, nes kuriu TVS tautai, mini naujienų ir straipsnių, tai norėčiau saugiai padaryt, kad nekiltu problemų, galit labiau apšviesti, beje dėkui už tas nuorodas labai

ganjabest · « **Atsakymas #3 Įrašytas:** 2013-02-23 13:25:21 pm »

Antroje nuorodoje jau tau kaip ant delno pateike viska

Tik ten vietoj mysql_* uzklausu naudojama arba PDO arba mysqli_* . Siaip jau mysql_* pasenes reikalas, tad tavo teise rinktis . Galiu pasaykt tik tiek kad PDO - funckionalesnis ir apima ne tik MySQL, bet tuo paciu suryja daugiau resursu(net ir paprasciausios uzklausos). O mysqli_* - maziau funkcionalesnis, bet zymiai greitesnis ir apima tik MySQL tip duomenu baze. Taciau tau sito turetu uztekti per akis.

Manualai.lt Forumas · « **Atsakymas #3 Įrašytas:** 2013-02-23 13:25:21 pm »

Interneto keleivis · « **Atsakymas #4 Įrašytas:** 2013-02-23 18:58:00 pm »

1. Naudoti kokią nors spec. klasę bendraujančią su MySql baze.
2. Galima papildomai preg_repleae'inti paliekant tik raides, skaičius.

Kodas: [Pasirinkti]

<?php
function prevent($word,$allow_tags = null) { // kadangi mano funkcija šiek tiek universalesnė, pritaikiau dar ir strip_tags funkciją
            $word = strip_tags($word, $allow_tags);
            $word = preg_replace("/[^a-zA-Z0-9+/", "", $word);
            return $word;
        }
?>

Modestas Vaitkevičius · « **Atsakymas #5 Įrašytas:** 2013-02-23 20:12:43 pm »

Citata iš: MariukasR 2013-02-23 13:17:05 pm

Modestai, o ką patartum naudot, nes kuriu TVS tautai, mini naujienų ir straipsnių, tai norėčiau saugiai padaryt, kad nekiltu problemų, galit labiau apšviesti, beje dėkui už tas nuorodas labai

Tikrai, antra nuoroda yra pateikta, kurioje viskas puikiai parašyta visais atvėjais ( PDO, Mysqli, Mysql )

O šiaip, jei naudojei savo TVS mysql_* - geriau perrašyk

justinas · « **Atsakymas #6 Įrašytas:** 2013-02-24 23:25:15 pm »

PDO su normaliais prepared statements ir tu esi saugus nuo SQL injekcijos.

MariukasR · « **Atsakymas #7 Įrašytas:** 2013-02-25 00:23:02 am »

Ačiū, na reiks priprast prie PDO patiko šis variantas, dar reiks pervers googlą visą, gal dar kažką rasiu.

ganjabest · « **Atsakymas #8 Įrašytas:** 2013-02-25 04:23:26 am »

Citata iš: MariukasR 2013-02-25 00:23:02 am

Ačiū, na reiks priprast prie PDO patiko šis variantas, dar reiks pervers googlą visą, gal dar kažką rasiu.

http://www.youtube.com/course?list=EC23A4AFEA46A5CB23
Prasau. Perprasi labai greitai. Zinoma smulkmenu yra visokiu daugiau, bet cia bent jau pirmas blynas

Manualai.lt Forumas · « **Atsakymas #8 Įrašytas:** 2013-02-25 04:23:26 am »

Manualai.lt Forumas

Naujienos: