Правила     Закладки     Карма    Календарь    Журналы    Помощь    Поиск    PDA    Чат   
        СМС-ки
   
Пейджер выключен!
 
Фильтр авторов:    показать 
  скрыть
  Ответ в темуСоздание новой темыСоздание опроса

> А прошибется ли такой код?, Или нет?
Эли4ка  
 ۩  [x] Дата
Цитировать сообщение

Пользователя сейчас нет на форуме



Богиня-девственница
******

Профиль
Группа: Форумчанин
Завсегдатай форума
Сообщений: 3189
Пользователь №: 27007
На форуме: 5 лет, 8 месяцев, 9 дней
Карма: 32

Не пью :
23 года, 11 месяцев, 15 дней


Ребят,здравствуйте!Скажите,можно ли как-то напакостить при таком коде?
if(empty($_GET['name']) or is_array($_GET['name'])){
die('{status:0,txt:"Пустое имя"}');
}
else {
$name = htmlspecialchars(stripslashes(trim($_GET['name'])));
}

if(empty($_GET['surname']) or is_array($_GET['surname'])){
die('{status:0,txt:"Пустая фамилия"}');
}
else {
$surname = htmlspecialchars(stripslashes(trim($_GET['surname'])));
}

if(empty($_GET['email']) or is_array($_GET['email'])){
die('{status:0,txt:"Пустой емаил"}');
}
else {
$email = htmlspecialchars(stripslashes(trim($_GET['email'])));
}
...тут далее уже с БД работаем,проверяем,добавляем,удаляем
PMПисьмо на e-mail пользователю
    0   Для быстрого поиска похожих сообщений выделите 1-2 слова в тексте и нажмите сюда Для быстрой цитаты из этого сообщения выделите текст и нажмите сюда
sergeiss  
Дата
Цитировать сообщение

Пользователь сейчас на форуме



Сидел он, дум великих полон - и вдаль глядел
******

Профиль
Группа: Эксперт
Группа переписки
Сообщений: 14966
Пользователь №: 4190
На форуме: 8 лет, 9 месяцев, 27 дней
Карма: 443




htmlspecialchars лучше использовать при выводе данных, а не перед сохранением в БД.

"Напакостить", я так понимаю, имеется ввиду SQL-инъекция? Тогда лучше не stripslashes(), а функцию, специфичную для данного вида БД. Например mysqli_real_escape_string() или pg_escape_string().

Это сообщение отредактировал sergeiss - 7.10.2016 - 23:41


--------------------
* Хэлп по PHP
* Описалово по JavaScript
* Хэлп и СУБД для PostgreSQL

* Обучаю PHP, JS, вёрстке. Интерактивно и качественно. За разумные деньги.

* "накапливаю умение телепатии" (С) и "гуглю за ваш счет" (С)

user posted image
PMICQ
    0   Для быстрого поиска похожих сообщений выделите 1-2 слова в тексте и нажмите сюда Для быстрой цитаты из этого сообщения выделите текст и нажмите сюда
AllesKlar  
Дата
Цитировать сообщение

Пользователя сейчас нет на форуме



Здесь живет
******

Профиль
Группа: Форумчанин
Завсегдатай форума
Сообщений: 3375
Пользователь №: 38635
На форуме: 2 года, 11 месяцев, 7 дней
Карма: 170




prepared statement, не?


--------------------
[продано копирайтерам]
PMПисьмо на e-mail пользователю
    0   Для быстрого поиска похожих сообщений выделите 1-2 слова в тексте и нажмите сюда Для быстрой цитаты из этого сообщения выделите текст и нажмите сюда
Эли4ка  
 ۩  Дата
Цитировать сообщение

Пользователя сейчас нет на форуме



Богиня-девственница
******

Профиль
Группа: Форумчанин
Завсегдатай форума
Сообщений: 3189
Пользователь №: 27007
На форуме: 5 лет, 8 месяцев, 9 дней
Карма: 32

Не пью :
23 года, 11 месяцев, 15 дней


Цитата
"Напакостить", я так понимаю, имеется ввиду SQL-инъекция?

sergeiss,ну не только,например попытаться подать вместо $_GET['email'] -$_GET['email'][] и еще чего-нибудь
PMПисьмо на e-mail пользователю
    0   Для быстрого поиска похожих сообщений выделите 1-2 слова в тексте и нажмите сюда Для быстрой цитаты из этого сообщения выделите текст и нажмите сюда
chee  
Дата
Цитировать сообщение

Пользователя сейчас нет на форуме



Здесь живет
******

Профиль
Группа: Сын полка
Сообщений: 1780
Пользователь №: 38654
На форуме: 2 года, 11 месяцев
Карма: 40




Цитата (Эли4ка @ 7.10.2016 - 18:47)
die('{status:0,txt:"Пустая фамилия"}');

на дворе 2016, а вы собираете json руками sad.gif


--------------------
Люди, имеющие низкий уровень квалификации, делают ошибочные выводы, принимают неудачные решения и при этом неспособны осознавать свои ошибки в силу низкого уровня своей квалификации

Мой блог
PMПисьмо на e-mail пользователю
    0   Для быстрого поиска похожих сообщений выделите 1-2 слова в тексте и нажмите сюда Для быстрой цитаты из этого сообщения выделите текст и нажмите сюда
Эли4ка  
 ۩  Дата
Цитировать сообщение

Пользователя сейчас нет на форуме



Богиня-девственница
******

Профиль
Группа: Форумчанин
Завсегдатай форума
Сообщений: 3189
Пользователь №: 27007
На форуме: 5 лет, 8 месяцев, 9 дней
Карма: 32

Не пью :
23 года, 11 месяцев, 15 дней


Цитата
на дворе 2016, а вы собираете json руками

chee,да это же пример...ясное дело,что для реального проекта я иначе сделаю.
мне главное всякие XSS,CSRF уязвимости недопустить

PMПисьмо на e-mail пользователю
    0   Для быстрого поиска похожих сообщений выделите 1-2 слова в тексте и нажмите сюда Для быстрой цитаты из этого сообщения выделите текст и нажмите сюда
chee  
Дата
Цитировать сообщение

Пользователя сейчас нет на форуме



Здесь живет
******

Профиль
Группа: Сын полка
Сообщений: 1780
Пользователь №: 38654
На форуме: 2 года, 11 месяцев
Карма: 40




Цитата (Эли4ка @ 8.10.2016 - 12:58)
CSRF

на эту уязвимость тут нет проверки.


--------------------
Люди, имеющие низкий уровень квалификации, делают ошибочные выводы, принимают неудачные решения и при этом неспособны осознавать свои ошибки в силу низкого уровня своей квалификации

Мой блог
PMПисьмо на e-mail пользователю
    0   Для быстрого поиска похожих сообщений выделите 1-2 слова в тексте и нажмите сюда Для быстрой цитаты из этого сообщения выделите текст и нажмите сюда
Another Reality  
Дата
Цитировать сообщение

Пользователя сейчас нет на форуме



Старик
***

Профиль
Группа: Пользователь
Сообщений: 124
Пользователь №: 41606
На форуме: 1 год, 4 месяца, 17 дней
Карма: 5




Цитата
главное всякие XSS,CSRF уязвимости недопустить


От CSRF надо делать отданную "страничку" уникальной и проверять потом.
Например добавить хайден поле, туда генерить ключь, потом проверять его наличие и соответствие и т.д. и .т.п.

Это сообщение отредактировал Another Reality - 8.10.2016 - 21:46
PMПисьмо на e-mail пользователю
    0   Для быстрого поиска похожих сообщений выделите 1-2 слова в тексте и нажмите сюда Для быстрой цитаты из этого сообщения выделите текст и нажмите сюда
Эли4ка  
 ۩  Дата
Цитировать сообщение

Пользователя сейчас нет на форуме



Богиня-девственница
******

Профиль
Группа: Форумчанин
Завсегдатай форума
Сообщений: 3189
Пользователь №: 27007
На форуме: 5 лет, 8 месяцев, 9 дней
Карма: 32

Не пью :
23 года, 11 месяцев, 15 дней


Цитата
на эту уязвимость тут нет проверки.

chee,да действительно забыла.Щас подправлю методами:
Цитата

Одноразовый токен для каждого действия — самый надёжный способ, лично я выбираю его
Проверять наличие X-Requested-With — поможет для AJAX запросов да и то не всегда
PMПисьмо на e-mail пользователю
    0   Для быстрого поиска похожих сообщений выделите 1-2 слова в тексте и нажмите сюда Для быстрой цитаты из этого сообщения выделите текст и нажмите сюда
  Быстрый ответ
Информация о Госте
Введите Ваше имя
Кнопки кодов
Для вставки цитаты, выделите нужный текст и
НАЖМИТЕ СЮДА
Введите сообщение
Смайлики
:huh:  :o  ;) 
:P  :D  :lol: 
B)  :rolleyes:  <_< 
:)  :angry:  :( 
:unsure:  :blink:  :ph34r: 
     
Показать всё

Опции сообщения  Включить смайлики?
 Включить подпись?
 
1 Пользователей читают эту тему (1 Гостей и 0 Скрытых Пользователей)
0 Пользователей:

Опции темы Ответ в темуСоздание новой темыСоздание опроса