Forum PHP.pl > [PHP]Bezpieczne zapisywanie danych w MySQL

Pomoc - Szukaj - Użytkownicy - Kalendarz

Pełna wersja: [PHP]Bezpieczne zapisywanie danych w MySQL

trifek

18.10.2016, 15:48:23

Witam serdecznie,
W jaki sposób najlepiej zapisywać dane z formularzy w MySQL?

Robię to tak:

[PHP] pobierz, plaintext 
$stmt = $db->prepare("INSERT INTO tabela (pole1, pole2) VALUES (:pole1, :pole2;");
$stmt->bindValue(': pole1',($_POST['ilosc_dni']), PDO::PARAM_INT);
$stmt->bindValue(': pole2', baza_zapis($_POST['tytul']), PDO::PARAM_STR);
$stmt->execute();
$stmt->closeCursor();
[PHP] pobierz, plaintext

Znalazłem w internecie informację że warto "przefiltrować" przed takim zapisem:

[PHP] pobierz, plaintext 
$_POST['pole1'] = filter_input(INPUT_POST, 'pole1', FILTER_SANITIZE_INT); 
$_POST['tytul'] = filter_input(INPUT_POST, 'tytul', FILTER_SANITIZE_STRING); 
[PHP] pobierz, plaintext

to prawda?

Trifek

Pyton_000

18.10.2016, 21:11:07

Bindowanie załatwi sprawę.

viking

19.10.2016, 06:13:22

Załatwi sprawę o ile wcześniej prawidłowo ustawisz kodowanie znaków (dotyczy wszystkich typów połączeń).
Oczywiście dalej takie dane przy wyświetlaniu mogą spowodować inne formy ataku np XSS.

To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę kliknij tutaj.