[ Поиск ] - [ Пользователи ] - [ Календарь ]
Полная Версия: Защитит ли mysql_real_escape_string() от инъекций?
alex455
Простой сайт с аккаунтами и информацией, вводимой в MySQL БД. Достаточно ли применения mysql_real_escape_string() для защиты БД от всех SQL-инъекций?



Спустя 18 минут, 49 секунд (26.06.2012 - 19:19) ИНСИ написал(а):
alex455 надо понимать, что каждая ситуация требует отдельной проверки. К примеру запись вида:
SELECT * FROM `users` WHERE `id` = '$id'

В данном запросе я бы использовать преобразование, то есть:
SELECT * FROM `users` WHERE `id` = (int)$id

Как пример, еще запрос:
INSERT INTO `users`(`name`) VALUES('$name')

Тут использовал бы функцию mysql_real_escape_string
INSERT INTO `users`(`name`) VALUES('mysql_real_escape_string($name)')

Если на сервере включена директива magic_quotes_gpc, запрос был бы другим:
INSERT INTO `users`(`name`) VALUES('mysql_real_escape_string(stripslashes($name))')

Это небольшие примеры, по запросам.

Взломать сайт могут не только по запросам твоего сайта. Проблемы могут быть и у хостера твоего, в настройках сервера. Если есть шелл доступ, я бы прикрыл его и т.д.

Спустя 3 минуты, 54 секунды (26.06.2012 - 19:23) Zzepish написал(а):
ИНСИ
имхо- magic_quotes для нубоскриптеров! Он только мешает!

Спустя 3 минуты, 51 секунда (26.06.2012 - 19:27) ИНСИ написал(а):
Zzepish это ты к чему? И к чему твои воск. знаки? Думаешь я так пойму твою интонацию?

Спустя 6 минут, 48 секунд (26.06.2012 - 19:34) RCuPeR написал(а):
Полностью согласен с ИНСИ.
mysql_real_escape_string() используют в строковых типах данных.

Zzepish,
Свернутый текст
А сам-то не такой ? mad.gif

Спустя 1 час, 13 минут, 16 секунд (26.06.2012 - 20:47) johniek_comp написал(а):
Смотря какой запрос, потому что mysql_real_escape_string() только для строк

Спустя 26 минут, 31 секунда (26.06.2012 - 21:14) Zzepish написал(а):
ИНСИ
Ну, ты написал, что на сервере может стоять. Вот я и высказал свое имхо. А восклицательные знаки у меня вместо точек(привычка уже)

Спустя 51 секунда (26.06.2012 - 21:14) Zzepish написал(а):
RCuPeR
Ну, нубы- те кто не старается прогрессировать, я стараюсь. И про экранирование тоже знаю! Вывод- я новичок, но не нуб)

Спустя 9 минут, 16 секунд (26.06.2012 - 21:24) ИНСИ написал(а):
Zzepish понятно, что в свежих версия php исправлены многие "ошибки" и многие функции уходят в небытие. Но надо учитывать, что не все хостеры еще перешли на обновления.

На счет воск. знаков понял )

Спустя 3 минуты, 5 секунд (26.06.2012 - 21:27) Zzepish написал(а):
ИНСИ
чес слово, я не понимаю хостеров- им платят деньгу. Так они ж должны переходить на самые новые обновления, а они на старье сидят. Чего так(

Спустя 20 минут, 58 секунд (26.06.2012 - 21:48) alex455 написал(а):
Да, вроде, если разом всё на новейшую версию перевести - много чего у клиентов в миг перестанет работать.

Спустя 54 минуты, 31 секунда (26.06.2012 - 22:42) RCuPeR написал(а):
+ не всегда дороже лучше (читать "новее лучше") !

Спустя 22 минуты, 37 секунд (26.06.2012 - 23:05) inpost написал(а):
alex455
Ответ: Нет!

Спустя 1 час, 41 минута, 55 секунд (27.06.2012 - 00:47) Gabriel написал(а):
inpost
омг, этож как так, если сайт написан под 4.3, а перейдет хостер на 5.3 до может повылетать достаточное количество функций

Спустя 36 минут, 45 секунд (27.06.2012 - 01:23) Эли4ка написал(а):
да и потом,хостеры не спешат переходить не только по этой причине:так как php разрабатывают люди,то иногда случается такие казусы как баги,уязвимости,а новые версии еще не достаточно проверены,а вдруг бац и какая-нибудь сильная уязвимость а?что тогда делать.. unsure.gif

Спустя 11 часов, 27 минут, 14 секунд (27.06.2012 - 12:51) alex455 написал(а):
Цитата (inpost @ 27.06.2012 - 00:05)
alex455
Ответ: Нет!

Это ответ на первый вопрос или второе утверждение?
Быстрый ответ:

 Графические смайлики |  Показывать подпись
Здесь расположена полная версия этой страницы.
Invision Power Board © 2001-2024 Invision Power Services, Inc.