16.09.2007, 18:45
|
|
Познавший АНТИЧАТ
Регистрация: 12.05.2007
Сообщений: 1,235
Провел на форуме:
2238549
Репутация:
1318
|
|
Использовать функцию mysql_escape_string() Пример:
Не выход. Оно не всегда спасает... Лучше если параметр запроса целое число - приводить его к целому с помощью intval, если параметр строка - регулярные выражения в руку. Т.е. задать шаблон, который определяет, что входящие символы в параметрах это цифры и латинские буквы...
Использовать функцию htmlspecialchars()
htmlspecialchars($_GET['id'], ENT_QUOTES);
Прикрутить временную задержку между неверными вводами пароля и неверных авторизаций с помощью cookies.
Лучше вести счётчик неудачных попыток захода, и банить по достижении какого-то количества. Твой метод с задержкой - просто несколько замедлит этот процесс. Лучше использовать хеш + хорошую соль, при достойном пароле, и отсутствии сведений о соли у злоумышленника все попытки будут безуспешными.
1) Существуют ли они? (empty() is_set())
empty - не проверяет на существование. Оно проверяет на пустоту значения.
|
|
|