Pomoc - Szukaj - Użytkownicy - Kalendarz
Pełna wersja: php6
Forum PHP.pl > Forum > PHP
wilman
10.08.2008, 20:30:15
Witam,
Przeglądałem sobie w sieci różne arty na temat php6 i... Dowiedziałem się, że w szóstej wersji PHP znika register_globals - to wydaje mi sie oczywiste, ale pozatym znika też magic_quotes ( i to już w wersji 5.3). W związku z tym mam pytanie: w jaki sposób bezpiecznie kodować tak, aby uniknąć ataków typu SQL Injection i inyych? Czy dane pochodzące z formularzy i trafiające do bazy powinny być przepuszczane przez funkcję mysql_real_escape_string, a następnie przy drukowaniu przez stripslashes()? Czy może są jakieś inne, uniwersalne i niezawodne techniki? smile.gif
Kicok
10.08.2008, 20:42:56
Cytat
Czy dane pochodzące z formularzy i trafiające do bazy powinny być przepuszczane przez funkcję mysql_real_escape_string, a następnie przy drukowaniu przez stripslashes()?


AFAIK stripslashes" title="Zobacz w manualu PHP" target="_manual też zniknie. PS. Jeśli sądzisz, że bez stripslashes" title="Zobacz w manualu PHP" target="_manual dane wyciągnięte z bazy danych będą miały niepotrzebne ukośniki, to nie znasz zasady działania mysql_real_escape_string" title="Zobacz w manualu PHP" target="_manual


Cytat
W związku z tym mam pytanie: w jaki sposób bezpiecznie kodować tak, aby uniknąć ataków typu SQL Injection


PDO będzie na PHP6 domyślnie włączone. Jeśli będziesz korzystał z prepared queries to nie masz się co martwić o SQL Injection.
SirZooro
10.08.2008, 21:53:24
Możesz też użyć PDO i sparametryzować zapytanie - to też jest bezpieczne. Poczytaj o PDOStatement::bindParam.
To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę kliknij tutaj.
Invision Power Board © 2001-2025 Invision Power Services, Inc.