| Autor | Zpráva | ||
|---|---|---|---|
| quatzael Profil |
#1 · Zasláno: 9. 10. 2013, 13:08:11
Snažil jsem se nastudovat co mám všechno udělat, abych zabezpečil svojí stránku před nějakými škodlivými vstupy z formulářů.
Došel jsem k názoru, že asi stačí jen mysqli_real_escape_string pro zápis z databáze a htmlspecialchars pro vypsání dat z databáze zpátky na stránku.
Opravdu je tohle dostatečný? Není potřeba nějaký sofistikovanější systém zabezpečení? |
||
| juriad Profil |
#2 · Zasláno: 9. 10. 2013, 13:12:10
Pokud ukládáš do databáze číslo, měl bys ho přetypovat na číslo.
Občas můžeš chtít strip_tags. |
||
| Alphard Profil |
#3 · Zasláno: 9. 10. 2013, 13:13:22
Obvyklý odkaz phpfashion.com/escapovani-definitivni-prirucka. Vždy záleží na kontextu, pak už je to snadné.
|
||
| quatzael Profil |
#4 · Zasláno: 9. 10. 2013, 14:19:54
juriad:
„Pokud ukládáš do databáze číslo, měl bys ho přetypovat na číslo.“ A jak se to dělá? |
||
| Enko Profil |
#5 · Zasláno: 9. 10. 2013, 17:51:34
Například takto pro celá čísla.
$cislo = (int)$_POST["cislo"]; |
||
| quatzael Profil |
#6 · Zasláno: 9. 10. 2013, 17:53:02
Enko:
Dík. |
||
| quatzael Profil |
#7 · Zasláno: 9. 10. 2013, 22:23:31 · Upravil/a: quatzael
Enko:
A ještě prosím, jak je možné zjistit, že je nějaká proměnná například integer nebo jak lze přímo zjistit datatype proměnné? Už to mám, asi je to is_int()Enko: Takhle: jde mi o to, jak z kontrolovat jestli zadaná hodnota z formuláře jsou čistě jen číslice.. Nejsem si jistý, jestli náhodou nejsou všechny hodnoty z formuláře automaticky nastavené jako string.. |
||
| Rfilip Profil |
#8 · Zasláno: 9. 10. 2013, 22:40:14
Formular se preci posila jako kazda jina stranka textovym protokolem http, tudiz vsechny promene budou typu string
|
||
| quatzael Profil |
#9 · Zasláno: 9. 10. 2013, 22:43:36 · Upravil/a: quatzael
Rfilip:
už jsem na to přišel: is_numeric() Nebo spíše: ctype_digit() |
||
|
Časová prodleva: 11 let
|
|||
0