Код (PHP): ( $stenaid = intval($_POST['stenaid']); '$stenaid', '".$_SESSION['id']."', '".$_SESSION['login']."', '".time()."', '$message')") or die(mysql_error()); Как должно быть правильнее? Защита должна быть,подскажите что нужно сделать=)? PHP, JavaScript, SQL и другой код пишите внутри тегов Код ( (Unknown Language)): [b]php][/b]Тут код[b][/[/b][b]code][/b][/color]
Кривой код Не пользоваться mysql, использовать mysqli или PDO Введённые данные преимущественно вставлять в запросы через плейсхолдеры Как исключение, использовать mysqli_real_escape_string или PDO::quote Перед отдачей бразуре данных, введённых пользователем, пропускать их через htmlspecialchars
Что нужно,чтобы уязвимости не было и не могли в $stenaid добавить ничего? При помощи sql иньекций можно попасть к файлам?
Нужно экранировать переменные, например с помощью mysqli_real_escape_string или PDO::quote могут получить пароль администратора и зайти в панель администратора и если в ней есть возможность загружать файлы, то да, примерно так просто прочитай книгу, там об этом написано
Андрей12, не советую делать прямое обращение к $_POST или $_GET переменным Используй лучше http://php.ru/manual/function.filter-input.html )
p@R@dox 55RU это для строк. Потенциально. 1) с помощью инъекции, в базу записывается php-код 2) php-код выводится на страницу "как есть" и кэшится шаблонизатором 3) при следующей загрузке, шаблонизатор делает include файла кэша, код хакера выполняется. как вариант
[vs], в документации нет описания о защите от SQL-инъекций в фильтрах Для этого есть другие инструменты.. Предназначение фильтров совсем иное
Будет ли толк,если делать так? Код (Text): $pass11 = sf($_POST['pass1']); $pass1 = mysql_real_escape_string($pass11);