28.01.2008, 08:39
|
|
Познавший АНТИЧАТ
Регистрация: 27.04.2007
Сообщений: 1,044
Провел на форуме:
3660186
Репутация:
905
|
|
if(IsSet($_POST[id]))
{
$id=$_POST[id];
if($id)
{
//cod
}
else
{
//cod
}
}
Если так сделаешь и если переменная $id у тебя скармливается базе данных, то получишь классический вариант SQL-инъекции. Чтобы этого избежать, нужно
заменить на
PHP код:
$id=mysql_real_escape_string($_POST['id']);
если база на мускуле. Если PostgreSQL, то вместо mysql_real_escape_string юзай pg_escape_string (ну или addslashes). Если же данные, переданные пользователем скрипту, не передаются в БД, а выводятся на страницу, то можешь получить XSS на странице. Фильтруй так
PHP код:
$id=htmlspecialchars($_POST['id']);
Вообще по защите php-скриптов на форуме достаточно тем, use search
|
|
|