mam na stronie dane przesylane metoda get i z tego co slyszalem kazdy moze sobie uzyc eval() aby uzyskac dostep do bazy danych... mozna to wylaczyc w pliku php.ini ale jesli moj dostawca hostingu nie daje mi dostepu do tego pliku ? da rade jakos jeszcze zabezpieczyc $_GET przed atakiem na baze danych ?

nie korzystaj z eval i po klopocie

ja nie korzystam... a jak ktos w adresie przegladarki dopisze to eval() ?

to sie nic nie stanie

Z tego co wiem, to zabezpieczenie bazy danych zależy od zabezpieczenia wykonywanych na niej operacji.

Jak mógłby ktoś wykonać coś na twoim serwerze przesyłając przez $_GET polecenie? Musiałbyć wewnątrz mieć eval($_GET['page']) czy coś :-) Ale nie jestem wtajemniczony w zagadnienie eval.

nie wiem tak tylko slyszalem wiec pytam czy to wogole jest mozliwe ze jak mam dane $_GET to zeby ktos to mogl wykorzystac i uzyskac dostep do bazy

Jeśli nie filtrujesz danych pochodzących od użytkownika, to w najgorszym przypadku ktoś zainclude" title="Zobacz w manualu PHP" target="_manual'uje zdalny plik i zrobi z Twojego serwera komputer-zombie.

Są przyklejone wątki dotyczące bezpieczeństwa.

tak jesli nie filtrujesz przychodzacych danych jestes narazony na SQL Injection

filtrowac filtruje... str_replace() i htmlspecialchars() uzywam i pozbywam sie wszystkiego co uznaje za niepotrzebne

chyba ze o inne filtrowanie chodzi o ktorym nie wiem

oj chodzi chodzi :-) popatrz tu Temat: SQL_Injection_Insertion tu Temat: Bezpieczenstwo_skryptow_PHP i tu http://www.beldzio.com/kategoria/bezpieczenstwo

dobra juz czytam :]

chyba bede musial to wziasc jako lekture teraz i dokladnie wszystko przeczytac i pozmieniac troche w skrypcie :]