הוסטס - פורום אחסון האתרים הגדול בישראל - View Single Post - שאלות ב-php

HOLD · 17-06-10, 14:27

שלום, במקום לפתוח מלא אשכולות, פתחתי אחד מרוכז

אשמח אם כל אחד יענה על מה שהוא יודע.

1)אם אני מדפיס משהו החוצה, ולא צריך לשמור אותו, מה יותר יעיל?

PHP קוד:


			
echo $Str.$User;

או

PHP קוד:


			
echo $Str;

echo $User;

2)האם ההגנה הזאת:

PHP קוד:


			
$Str = mysql_real_escape_string($Str,$Link);

מספיקה לכל איומי האבטחה מהקלט? או שיש עוד דברים שצריך לעשות עם הקלט? (חוץ מבדיקה האם ערך מספרי - כשאתה מקבל ערך מספרי)

3)האם זה חכם לעשות חיפוש באתר על REGEXP כמו זה?

PHP קוד:


			
Select Id From Table WHERE Text REGEXP 'mysql_real_escape_string($_GET['Text'],$Link)'

או שיש דרך יותר יעילה להוציא תוצאות בחיפוש?
ומשהו נוסף בנושא, איזה תווים של REGEXP יש? (כדי שאני אסנן אותם)

4)האם השאילתא הזאת מספיק מאובטחת?

PHP קוד:


			
$result=mysql_query("SELECT * FROM Users WHERE Name='".mysql_real_escape_string($_GET['Name'],$Link)."'",$link);

או שיש דרך "להקשיח" אותה יותר?

5) מה ההבדל בין die ל exit? שינהם סוגרים את הסקריפט ו-die גם כותב הודעה?

6) איך אני נועל הצגת שגיאות? (אני דואג שלא יהיו , אבל לך תדע..)
כשהאתר רץ, לא בא לי שמשתמשים רגילים יראו שגיאות, כי הצגת שגיאה זו פריצת אבטחה לכל דבר, יש שם מידע, שאתה לא רוצה שידעו.

פשוט איך אני דואג שיהיה עמוד שגיאה מסודר, ושהשרת לא יראה דברים כאלה "Fatal error: An sql error occurred.....".

ועוד משהו בנושא, איך אני מקבל את השורת שגיאה, למרות שהסתרתי אותה? (בשביל רישום בלוג)

7) כשאני רוצה ליצור האדר (חלק עליון) וחלק תחתון בכל העמודים אותו הדבר אני משתמש ב-include:

PHP קוד:


			
include('myheader.php'); echo 'Hello World!'; include('myfooter.php');

יש דרך יותר יעילה?

תודה.

17-06-10, 14:27	# 1
HOLD חבר מתקדם מיני פרופיל תאריך הצטרפות: Oct 2008 הודעות: 623	שאלות ב-php שלום, במקום לפתוח מלא אשכולות, פתחתי אחד מרוכז אשמח אם כל אחד יענה על מה שהוא יודע. 1)אם אני מדפיס משהו החוצה, ולא צריך לשמור אותו, מה יותר יעיל? PHP קוד: `echo $Str.$User;` או PHP קוד: `echo $Str; echo $User;` 2)האם ההגנה הזאת: PHP קוד: `$Str = mysql_real_escape_string($Str,$Link);` מספיקה לכל איומי האבטחה מהקלט? או שיש עוד דברים שצריך לעשות עם הקלט? (חוץ מבדיקה האם ערך מספרי - כשאתה מקבל ערך מספרי) 3)האם זה חכם לעשות חיפוש באתר על REGEXP כמו זה? PHP קוד: `Select Id From Table WHERE Text REGEXP 'mysql_real_escape_string($_GET['Text'],$Link)'` או שיש דרך יותר יעילה להוציא תוצאות בחיפוש? ומשהו נוסף בנושא, איזה תווים של REGEXP יש? (כדי שאני אסנן אותם) 4)האם השאילתא הזאת מספיק מאובטחת? PHP קוד: `$result=mysql_query("SELECT * FROM Users WHERE Name='".mysql_real_escape_string($_GET['Name'],$Link)."'",$link);` או שיש דרך "להקשיח" אותה יותר? 5) מה ההבדל בין die ל exit? שינהם סוגרים את הסקריפט ו-die גם כותב הודעה? 6) איך אני נועל הצגת שגיאות? (אני דואג שלא יהיו , אבל לך תדע..) כשהאתר רץ, לא בא לי שמשתמשים רגילים יראו שגיאות, כי הצגת שגיאה זו פריצת אבטחה לכל דבר, יש שם מידע, שאתה לא רוצה שידעו. פשוט איך אני דואג שיהיה עמוד שגיאה מסודר, ושהשרת לא יראה דברים כאלה "Fatal error: An sql error occurred.....". ועוד משהו בנושא, איך אני מקבל את השורת שגיאה, למרות שהסתרתי אותה? (בשביל רישום בלוג) 7) כשאני רוצה ליצור האדר (חלק עליון) וחלק תחתון בכל העמודים אותו הדבר אני משתמש ב-include: PHP קוד: `include('myheader.php'); echo 'Hello World!'; include('myfooter.php');` יש דרך יותר יעילה? תודה.