03.11.2010, 16:38 | #11 |
Мастер
Регистрация: 10.10.2008
Адрес: Одесса Мама
Сообщений: 947
Вес репутации: 245
|
1. Все числовые значения надо проверять (число ли это)
Например функцией is_numeric() 2. Экранировать такие(') кавычки, или вырезать их из строки к чертовой матери. Это лишнее, если злоумышленник не сможет поставить кавычку в начале иньекции то и иньекции никакой не будет. |
10.11.2010, 18:51 | #12 | |
Специалист
|
Цитата:
Но если значение с клиента, тупо присоединяется к запросу и не является строкой(т.е. нет кавычек, например число), то кавычка не требуется для такой инъекции. Поэтому, стоит проверять тип и длину значения с клиента,тогда такая инъекция не пройдет. |
|
10.11.2010, 22:54 | #13 |
Специалист
Регистрация: 07.05.2009
Адрес: Las Vegas
Сообщений: 217
Вес репутации: 190
|
|
11.11.2010, 06:58 | #15 | |
Мастер
Регистрация: 17.03.2008
Сообщений: 638
Вес репутации: 238
|
Цитата:
Код:
$input = strip_tags(html_entity_decode($input)); |
|
17.11.2010, 15:30 | #17 | |
Магистр
Регистрация: 04.12.2007
Сообщений: 3,680
Вес репутации: 418
|
вы Horrower немного не правы
Цитата:
__________________
|
|
22.11.2010, 15:06 | #20 |
Эксперт
|
кавычки удалять и всё - тогда ничего не будет.. (менять их на "e код.. html) - дёшево и сердито
__________________
|
|
|
Похожие темы | ||||
Тема | Автор | Раздел | Ответов | Последнее сообщение |
Защита КОНТЕНТА | lbm | Общие вопросы оптимизации | 83 | 21.07.2011 17:49 |
Защита от АГС | vasir | Вопросы от новичков | 12 | 11.10.2010 22:08 |
Подскажите по защите от sql-инъекции | Йода | Разработка и сопровождение сайтов | 38 | 25.06.2010 12:17 |
Защита от дурака | wUUb | Пожелания пользователей системы | 17 | 05.03.2010 23:19 |
Подмогните с голосами :) | NCom | Курилка | 54 | 04.10.2009 01:54 |
Часовой пояс GMT +3, время: 13:42.