[Hezi & BomBas]

ציטוט:

נכתב במקור על ידי The Chosen Generl

תחליף בשורה הזו, מה זה הבלאגן שעשיתם לו שם:


מעבר לזה, אתה יכול לוודא שהid הוא מספרי, תעשה על ידי בהצלחה..

לא חושב שמה שנתת לו יעזור לו, זה לפי דרך כתיבה.. לפי דעתי הדרך שלך פחות נוחה.
בקשר ל is_numeric - אתה צודק, אבל על אבטחה אנחנו לא מדברים עכשיו.

סניר (אני צודק?), קודם כל תוריד את הרווחים אחרי הגרש ('):

PHP קוד:

$query = mysql_query("SELECT * FROM random_users WHERE id = '". $id ."' "); 


דבר שני, אתה לא יכול לעשות isset ואז לעשות השוואה. תוריד את ההשוואה מהתנאים, אתה לא צריך אותה.(תשאיר רק את ה ISSET)

ופה:

PHP קוד:

if (isset($_GET['update']) == $id) { 


תוריד את ה ISSET.

[intercooler3819]

ציטוט:

נכתב במקור על ידי Hezi & BomBas

לא חושב שמה שנתת לו יעזור לו, זה לפי דרך כתיבה.. לפי דעתי הדרך שלך פחות נוחה.
בקשר ל is_numeric - אתה צודק, אבל על אבטחה אנחנו לא מדברים עכשיו.

סניר (אני צודק?), קודם כל תוריד את הרווחים אחרי הגרש ('):

PHP קוד:

$query = mysql_query("SELECT * FROM random_users WHERE id = '". $id ."' "); 


דבר שני, אתה לא יכול לעשות isset ואז לעשות השוואה. תוריד את ההשוואה מהתנאים, אתה לא צריך אותה.(תשאיר רק את ה ISSET)

ופה:

PHP קוד:

if (isset($_GET['update']) == $id) { 


תוריד את ה ISSET.

אני בטוח שהוא לא צריך הקסה או טווחים של אינטים שכוללים E
IS_NUMERIC הוא לא בדיוק השיא אבטחה למקרה הספציצי הזה

עדיף להשתמש ב

PHP קוד:

<?php
if(preg_match("#^[0-9]+$#", $str)) return TRUE;

[AlmogBaku]

ציטוט:

נכתב במקור על ידי nitsanbn

אני בטוח שהוא לא צריך הקסה או טווחים של אינטים שכוללים E
IS_NUMERIC הוא לא בדיוק השיא אבטחה למקרה הספציצי הזה

עדיף להשתמש ב

PHP קוד:

<?php
if(preg_match("#^[0-9]+$#", $str)) return TRUE;

טיפשי לגמרי. זה אותו דבר.



ובכלל אני לא רואה סיבה למה לעבוד קשה על בדיקה כשאפשר להתעלם ממה ששגוי(intval למשתנה שרוצים להזין וחסל)