| Autor | Zpráva | ||
|---|---|---|---|
| krteczek Profil |
#1 · Zasláno: 1. 9. 2005, 21:57:15
Dobrý večer! :-)
Skouším pomocí Mod Rewrite SeoUri , a když nad tím přemýšlím tak mne napadá jestli je bezpečné předaný výraz hodit rovnou do dotazu na db, nebo mám udělat třeba ještě jeden sloupeček v tabulce, kde by byl md5 hash toho seo názvu a udelat md5 has predaného a to zkontrolovat? díky předem za Vaše názory a pobídnutí... krteczek |
||
| juneau Profil |
#2 · Zasláno: 1. 9. 2005, 22:07:42
no, ja bych ten predany vyraz nejdrive prosel pomoci addslashes() a pod v zavislosti na nastaveni serveru a pak myslim zadne nebezpeci nehrozi.
|
||
| Charlie Profil |
#3 · Zasláno: 1. 9. 2005, 22:40:46
Já bych otestoval, jestli ten řetězec obsahuje středník. Pokud ano, tak by vám někdo mohl snadno vymazat třeba celou databázi pomocí dvojího query. Když byste použil addslashes(), tak by to v tomto případě nefungovalo.
|
||
|
Časová prodleva: 3 dny
|
|||
| Kajman Profil * |
#4 · Zasláno: 4. 9. 2005, 19:10:03
Já bych otestoval, jestli ten řetězec obsahuje středník. Pokud ano, tak by vám někdo mohl snadno vymazat třeba celou databázi pomocí dvojího query.
A jak to děláte, že vám fungují dva dotazy v jednom? |
||
| Kalda Profil * |
#5 · Zasláno: 6. 9. 2005, 13:29:42
To Kajman - záleží to na nastavení magick_quotes .
A navíc - co takhle místo addslashes pouzit mysql_real_escape_string http://www.php.net/manual/en/function.mysql-real-escape-string.php nebo jinou podobnou funcki pro konkretni databazi? Jinak doporučuji článek a diskusi http://php.vrana.cz/obrana-proti-sql-injection.php |
||
| Kajman Profil * |
#6 · Zasláno: 6. 9. 2005, 13:40:59
Já jen, že si mi do mysql_query() nikdy nepodařilo přidat nějaký jiný dotaz pomocí středníku. Tuším, že se vše po středníku už ignoruje. Jak se chovají uvozovky, na to asi žádný vliv mít nebude.
Injekce se prostě dělají většinou úpravou podmínky where, proto mi ta citovaná věta přišla zavádějící a neslučitelná s osobními zkušenostmi :-) |
||
| Kalda Profil * |
#7 · Zasláno: 6. 9. 2005, 13:50:58
Na jednom hostingu jsem tohle chování viděl...
Je to tak 4 roky zpět a po upozronění to upravili a zároveň se tehdá změnilo nastavení magick_quotes. Ale jak nad tím přemýšlím, tak jsem si to asi chybně dával do souvislosti, zřejmě budete mít pravdu... |
||
|
Časová prodleva: 20 let
|
|||
Toto téma je uzamčeno. Odpověď nelze zaslat.
0