Pomoc - Szukaj - Użytkownicy - Kalendarz
Pełna wersja: [PHP]Bezpieczeństwo
Forum PHP.pl > Forum > Przedszkole
adrianozo
Witam.
Mam pytanie:

Czy kod poniżej jest bezpieczny? I czy w ogóle będzie działał?

  1. $info = addslashes($_POST['info']);


Z góry dziękuje smile.gif
piotrooo89
ale bezpieczny pod jakim względem? co z nim robisz? bo jeśli chcesz filtrować to co dodajesz do bazy danych to używaj mysql_real_escape_string.
adrianozo
Właśnie o to chodziło smile.gif
Ale na tej zasadzie zrobić?

  1. $info = mysql_real_escape_string($_POST['info']);


questionmark.gif

A mam pytanie:

Czy
można też zastosować do zapytań np. INSERT?

No to zabezpieczyłem ;/
Po poniższym kodzie nie dodaje mi rekordu do bazy... Dlaczego?

  1. <?php
  2. include('include/db.php');
  3. $info = addslashes($_POST['info']);
  4. $kategoria = addslashes($_POST['kategoria']);
  5. $tytul = addslashes($_POST['tytul']);
  6. $cena = addslashes($_POST['cena']);
  7. $plik_nazwa = addslashes($_POST['plik']);
  8. $zdjecie_nazwa = addslashes($_POST['zdjecie']);
  9. $data = date('Y-m-d-G:i:s');
  10. include('include/dane.php');
  11. $zapytanie = "INSERT INTO `artykuly` (`info`, `kategoria`, `tytul`, `cena`, `plik`, `zdjecie`, `data`) VALUES ('".$info."', '".$kategoria."', '".$tytul."', '".$cena."', 'upload/".$plik_nazwa."', 'zdjecie/".$zdjecie_nazwa."', '".$data."')";
  12. $zapytanie = addslashes($zapytanie);
  13. $idzapytania = mysql_query($zapytanie);
  14. }
  15. }
  16. }
  17. }
  18. else
  19. {
  20. echo '<div style="text-align:center;">Zły format pliku!<br /><a style="text-decoration: none;" href="?page=dodajartykul">Wr&#xF3;&#x107;</a></div>';
  21. }
  22. if($idzapytania)
  23. {
  24. echo '<div style="text-align:center;">Dodano artyku&#x142;<br /><br /><a style="text-decoration: none;" href="?page=paneladmina">Wr&#xF3;&#x107; do Panelu Administratora</a></div>';
  25. }
  26. }
  27. mysql_close($connect);
  28. ?>


To jest tylko część kodu.
nospor
wywal to:
$zapytanie = addslashes($zapytanie);
masz slashowac wartosci a nie zapytanie.
adrianozo
Dzięki działa smile.gif
adrianozo
Mam pytanie odnośnie bezpieczeństwa.
Jak można zabezpieczyć skrypt PHP/MySQL przed wszelkiego rodzaju atakami?
Głównie chodzi o bezpieczeństwo skryptów.
bolverk
Jak dla mnie ogólną zasadą bezpieczeństwa skryptu jest: Filtruj input, escepe'uj output smile.gif
wNogachSpisz
 I tak i nie, jeśli chodzi o walidację zapytań do bazy SQL:
http://shiflett.org/blog/2006/jan/addslash...l-escape-string

Jeśli chodzi o XSS, to nie koniecznie, albo nawet wcale  smile.gif

Zabezpieczyc stronę przed wszelkiego rodzaju atakami mozna tym:
http://hack.pl/forum/showthread.php?p=46299



--------
http://homehost.pl - (prawie) darmowy hosting
piotrooo89
to i ja coś dorzuce: http://www.beldzio.com/kategoria/bezpieczenstwo
To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę kliknij tutaj.
Invision Power Board © 2001-2025 Invision Power Services, Inc.