15.12.2011, 10:49 | #12 |
Монстер
Регистрация: 30.12.2008
Адрес: Монстрополис
Сообщений: 2,496
Вес репутации: 371
|
Совершенно верно.
__________________
|
25.01.2012, 14:40 | #13 |
Специалист
|
У меня есть вопрос, решил не создавать новую тему, а написать сюда.
например ищу в бд текст "SELECT чтототам FROM гдетотам LIKE '%".$safesearch."%'; если $safesearch = "dim\'s", то он не найдет в БД "111dim's222" из-за слеша ... а если не экранировать кавычки, то возможна SQL-инъекция. т.е. проблема в том, как безопасно найти строку с кавычками в БД
__________________
|
25.01.2012, 18:22 | #15 | |
Печник
Регистрация: 11.10.2009
Адрес: Наш мир
Сообщений: 2,060
Вес репутации: 231
|
Цитата:
Смешно, поддавану своему это разжовывать пришлось в конце того года. Чему нынче в институтах учат - непонятно.
__________________
|
|
25.01.2012, 18:57 | #16 |
Эксперт
Регистрация: 12.12.2009
Адрес: Ростов-на-Дону
Сообщений: 1,537
Вес репутации: 241
|
Да вроде бы как раз так не принято.
По крайней мере в друпале - в базу заносится именно то что вводит пользователь (со всеми иньекциями, всеми тегами и т.п.). А уж при выводе применяются те или иные фильтры.
__________________
Самый удобный Хостинг (в т.ч. сейчас - бесплатное полугодовое тестирование хостинга Node.JS) Последний раз редактировалось eresik; 25.01.2012 в 19:03. |
25.01.2012, 19:08 | #17 |
Вредина
Регистрация: 03.07.2007
Адрес: д.Коноплянка
Сообщений: 3,535
Вес репутации: 431
|
Ошибаетесь: если что-то, куда-то передается, то это запрос GET / POST или PUT на худой конец, соответственно если в момент передачи запрос не очищен - это угроза. Чистить нужно ДО передачи, для этого и пишутся всякие валидаторы передаваемых данных, а не обработчики имеющихся данных.
__________________
|
25.01.2012, 19:15 | #18 |
Эксперт
Регистрация: 12.12.2009
Адрес: Ростов-на-Дону
Сообщений: 1,537
Вес репутации: 241
|
__________________
Самый удобный Хостинг (в т.ч. сейчас - бесплатное полугодовое тестирование хостинга Node.JS) |
25.01.2012, 19:29 | #19 |
Печник
Регистрация: 11.10.2009
Адрес: Наш мир
Сообщений: 2,060
Вес репутации: 231
|
Лучше вы пример привидете, раз про друпал заговорили.
Что клиент написал, что в в базу записалось. Похоже вы меня не поняли. Добавлено через 3 минуты Например соль популярность получила, когда кавычки не обрабатывались правильно.
__________________
Последний раз редактировалось ubuntu; 25.01.2012 в 19:29. Причина: Добавлено сообщение |
25.01.2012, 20:29 | #20 |
Специалист
|
Очистил БД от кавычек в явной форме, заменив их эквивалентами, пожалуй это самое верное решение, да ...
__________________
|
Опции темы | |
|
|
Похожие темы | ||||
Тема | Автор | Раздел | Ответов | Последнее сообщение |
Вопрос к знатокам MySQL | a112 | Курилка | 14 | 17.07.2011 20:35 |
Вопрос к знатокам ПС про favicon.ico | Lenka | Курилка | 4 | 31.12.2010 14:24 |
Вопрос знатокам Друпала | magura888 | Разработка и сопровождение сайтов | 0 | 01.10.2010 13:34 |
Вопрос к знатокам Wordpress. | nikonoff | Курилка | 5 | 19.07.2010 13:16 |
Фон страницы и css - вопрос к знатокам | Globalzru | Разработка и сопровождение сайтов | 18 | 13.12.2009 19:09 |
Часовой пояс GMT +3, время: 05:25.