ציטוט:
נכתב במקור על ידי kfir91
אתה עוטף כל get באתר קודם כל ב
htmlspecialchars כדי שזה ימנע שימוש בסקריפטים ב get שזה בעצם ההזרקות sql injection
וגם ב textarea אתה שם htmlspecialchars חפש את זה בגוגל תבדוק איך עושים את זה.
עוד טיפ ל get תעשה שליפה של ה ID הכי גבוה בטבלה שלך במסד ותעשה תנאי שאם ה ID שנכנס ל get יותר גבוה ממנו אז זה יציג דף שגוי ואם לא אז יציג את הדף שהוא צריך...
ככה זה ימנע הכנסת אותיות וכו' ל GET
קוד:
$id = htmlspecialchars($_GET['newsID']);
$limitid = "SELECT MAX(ID) FROM news";
$limitid2=mysql_query($limitid) or die("blah");
$limitid3= mysql_result($limitid2, 0);
if ($id > $limitid3 || $id < 1)
{
echo "<br><br><div align='center'><img src='img/logo.jpg'><meta http-equiv=\"refresh\" content=\"1; url=$sl\" /> ";
exit();
}
|
ציטוט:
אתה עוטף כל get באתר קודם כל ב
htmlspecialchars כדי שזה ימנע שימוש בסקריפטים ב get שזה בעצם ההזרקות sql injection
|
זה XSS, וזה לא מה שימנע SQL INJECTION.
ציטוט:
עוד טיפ ל get תעשה שליפה של ה ID הכי גבוה בטבלה שלך במסד ותעשה תנאי שאם ה ID שנכנס ל get יותר גבוה ממנו אז זה יציג דף שגוי ואם לא אז יציג את הדף שהוא צריך...
ככה זה ימנע הכנסת אותיות וכו' ל GET
|
מה? למה? זה באמת בזבוז משאבים נוראי. למה? תן לי סיבה אחת. שיכניס מצידי 1000001. איך זה יפגע בתפקוד המערכת?
ציטוט:
|
וגם ב textarea אתה שם htmlspecialchars חפש את זה בגוגל תבדוק איך עושים את זה.
|
מה? htmlspecialchars ל-textarea באופן מיוחד? למה באופן מיוחד?
ואני יכול לנחש למה אתה מתכוון, ובאמת - זה גם, אני אצטט את המגיב מהדיון השני - "שיטה מטופשת". זה בגלל שאתה עושה nl2br ואז htmlspecialchars. מה שהסברת לו זה איך לבזבז משאבים באופן לא יעיל.
זה נחמד ומבורך לעזור, אבל אל תטעה אותו.