PeaceDuke Во-первых, проверять регуляркой в данном случае - плохо. Во-вторых, проверка рефера - не есть гуд, потому что некоторые фаерволы его блокируют. Любой яваскрипт хорошо обходится через адресную строку.
Kreker Спорно. Как раз обычно формы которые проверяются через JS все еще в состоянии как-то работать при отключенном js, то есть и сабмититься тоже. Хотя конечно всякое бывает...
sobachnik Первое - вызов функции (поэтому чуть-чуть, но тормознее), второе - конструкция языка, поэтому ее нельзя использовать в качестве callback-а.
sobachnik хитрец. у кого же еще спрашивать как защитить скрипт от взлома как не ухакеров которые его потом будут взламывать...
Ой! Да сколько денег получают? За 1000 скачиваний 17$ вроде, да? Большие деньги? Это во первых! Во вторых попробуй найди в других местах эти файлы. Я скачал также как и вам предлагаю. В кугле нашел и скачал. Мне покупать эти книги не начто, кроме этих мест их не где не встречал. Даже спасибо скажу человеку который их туда выложил и дал возможность их качать. Я лично не плачу за скачивание, у меня безлимил. качаю в 20 кбит/сек и мне достаточно. И речь не отом, что это платные файлы или безплатные. Речь о безопасности созданом, ведь теряешь больше когда ломают твое творение, чем платно скачаешь фаил!!!!!!!!!! Не сопоставимо!!!! Да, я выложил эту ссылку и на другом форуме, и не на 1000, а только здесь и на там. Знаешь, даже тему создал о том чтоб народ в нее выкладывал свои соображения по поводу безопасности. Все где я всречал, обсуждение кончаеться на нескольких советах, в оснавном поверхнастно. И если вы, господа, считаете что я на вас решил денег заработать, то вы ошибаетесь. Я решил их не потерять, и вместе с вами.
Программирование не приносит ПРОФИТ? Это какое-то неправильное программирование vitaver ссылка удалена. Во-первых потому что не работает, во-вторых потому что есть спец. тема для литературы в которую ее и можно кинуть, если Вы действительно уверены в нужности и правильности данного материала. Ну если человек кинет ссылку на хорошую литературу, которую даже захочется потом купить в бумажном варианте, то ведь все получать ПРОФИТ: я в знаниях, автор в гонораре за бумажную книгу, человек кинувший ссылку пару центов за клик Чего в этом плохого?
Хорошо! Только вот удалена не та ссылка. Удалено мое сообщение о том что она неисправна и о призвании найдти эту книгу в кугле. Исправь пожайлуста свою оплошность и удали правельное сообщение! Я ведь только учусь, по этому и пишу в тему для начинающих. Чуть позже обязательно буду зарабатывать денег на изученом мною програмировании. Кстати ответье на мой вопрос косающего работы цикла for. Помогите начинающим. Тема так и називаеться: Работа цикла for.
у меня тоже вопрос. к примеру: www.site.ru/?page=main тут писали про фильтрацию с помощью mysql_real_escape_string(). мне советовали вырезать из строки левые символы таким образом: PHP: <? if(isset($_GET['page']) && !empty($_GET['page'])) { $page = ereg_replace('[<>\'#\)\(]', '', $page); $page = htmlspecialchars($page, ENT_QUOTES); } ?> а все ли символы, которые режутся выше регуляркой, экранирует эта функция?
ЕлЛоко, извини, но тебе посоветовали дерьмо начиная с того, что isset тут не нужен, достаточно проверки на !empty, а хтмлспешиалс чарз сработает впустую, потому что все теги вырезаны устаревшей функцией ereg_*, которую в шестой части удалят.
Ну и представь, что останется от сообщения , которое экранированно таким образом: "я не согласен с утверждением в сообщений #33, потому-что, все-таки, (33/34) > (32/33)"
Ну а если пейдж - это номер страницы, до достаточно сделать так: PHP: <? $page = !empty($_GET['page']) ? intval($_GET['page']) : 0; это и быстрее и надежнее и очевиднее и в дальнейшей версиях будет работать одинаково.
Спасибо за советы. Сделал так. Целые числа фильтрую так: PHP: <? $id = !empty($_GET['id']) ? intval($_GET['id']) : 1; а строковые параметры так: PHP: <? $page = !empty($_GET['page']) ? mysql_escape_string($_GET['page']) : 0; // 0 - это я для своих целей... этого дожно хватить насколько я понял. странно, но у меня ф-я mysql_escape_string работает, а mysql_real_escape_string - нет. это может зависеть от конфигурации сервера? я почитал, что в принципе париться особо не стоит, они обе дадут один и тот же результат. еще читал, что спец. символы для sql-инъекции можно подставить в hex-виде. подробностей не помню. возможно ли это? вообще, я бухгалтер, так что не ругайтесь