ANTICHAT.XYZ    VIDEO.ANTICHAT.XYZ    НОВЫЕ СООБЩЕНИЯ    ФОРУМ  
Баннер 1   Баннер 2

ANTICHAT — форум по информационной безопасности, OSINT и технологиям

ANTICHAT — русскоязычное сообщество по безопасности, OSINT и программированию. Форум ранее работал на доменах antichat.ru, antichat.com и antichat.club, и теперь снова доступен на новом адресе — forum.antichat.xyz.
Форум восстановлен и продолжает развитие: доступны архивные темы, добавляются новые обсуждения и материалы.
⚠️ Старые аккаунты восстановить невозможно — необходимо зарегистрироваться заново.
Вернуться   Форум АНТИЧАТ > Программирование_OLD > PHP, PERL, MySQL, JavaScript
Перезагрузить страницу Статья про анти sql-inj
   
 
Страница 6 из 10 « Первая < 2 3 4 5 6 7 8 9 10 >
 
Опции темы Поиск в этой теме Опции просмотра

  #51  
Старый 02.02.2008, 01:17
FraiDex
Участник форума
Регистрация: 16.06.2006
Сообщений: 179
Провел на форуме:
515368

Репутация: 135
Отправить сообщение для FraiDex с помощью ICQ
По умолчанию
фаг.. но ведь вё равно принимает. спецсимволы она не фильтрует
 

  #52  
Старый 02.02.2008, 01:31
DIAgen
Познавший АНТИЧАТ
Регистрация: 02.05.2006
Сообщений: 1,191
Провел на форуме:
7364332

Репутация: 1276


По умолчанию
Цитата:
Сообщение от FraiDex  
фаг.. но ведь вё равно принимает. спецсимволы она не фильтрует
Цитата:
mysql_real_escape_string -- Экранирует специальные символы в строках для использования в выражениях SQL
Достаточно прогонять текстовые переменные по даной функции и больше не чего не надо
PHP код:
    function secure_sql($value) {
        if( get_magic_quotes_gpc()) {
            $value stripslashes$value );
        }
        if( function_exists"mysql_real_escape_string" )) {
            $value mysql_real_escape_string$value );
        } else {
            $value addslashes$value );
        }
        return $value;
    } 
 

  #53  
Старый 26.02.2008, 03:17
Isis
Флудер
Регистрация: 20.11.2006
Сообщений: 3,316
Провел на форуме:
16641028

Репутация: 2371


По умолчанию
Цитата:
Сообщение от DIAgen  


Достаточно прогонять текстовые переменные по даной функции и больше не чего не надо
PHP код:
    function secure_sql($value) {
        if( get_magic_quotes_gpc()) {
            $value stripslashes$value );
        }
        if( function_exists"mysql_real_escape_string" )) {
            $value mysql_real_escape_string$value );
        } else {
            $value addslashes$value );
        }
        return $value;
    } 
На вид большая функция а =\\

1) Зачем цифры переводить через эту функцию?
Достаточно
PHP код:
<?php
$xek intval($xek);
?>
2) Оох... где-то еще есть серваки с пхп 3 чтобы делать поверку на существование функции mysql_real_escape_string ?

3) mysql_real_escape_string не экранирует символы % и _ также как mysql_escape_string что будет багой например при %LIKE% .....
Поэтому достаточно написать свою функцию в 3 строки с реплейсом % и _ на \%, \_ ну и mysql_real_escape_string
 

  #54  
Старый 14.04.2008, 22:58
neval
Moderator - Level 7
Регистрация: 13.12.2006
Сообщений: 531
Провел на форуме:
2127116

Репутация: 383


По умолчанию
Цитата:
Сообщение от Isis  
На вид большая функция а =\\

1) Зачем цифры переводить через эту функцию?
Достаточно
PHP код:
<?php
$xek intval($xek);
?>

зри в корень )
Цитата:
Сообщение от DIAgen

Достаточно прогонять текстовые переменные по даной функции и больше не чего не надо
 

  #55  
Старый 02.10.2008, 17:10
nerezus
Pagan Heart
Регистрация: 12.08.2004
Сообщений: 3,791
Провел на форуме:
6490435

Репутация: 2290


Отправить сообщение для nerezus с помощью ICQ
По умолчанию
Могу скинуть свою обертку для запросов. Нужно?
На самом деле это боян, обертка типа.
 

  #56  
Старый 16.11.2008, 19:57
PEHAT
Новичок
Регистрация: 16.11.2008
Сообщений: 2
Провел на форуме:
3536

Репутация: 0
По умолчанию
Цитата:
Сообщение от p-range  
Код:
...
$val = (int)$_GET['val'];
$val = mysql_escape_string($val);
....
А зачем число ещё и mysql_escape_string'ом обрабатывать?
 

  #57  
Старый 04.09.2009, 20:19
Krist_ALL
Banned
Регистрация: 14.01.2009
Сообщений: 515
Провел на форуме:
1996429

Репутация: 468


Отправить сообщение для Krist_ALL с помощью ICQ
По умолчанию
Mysql_real_escape_string не спасет от слепых инекций.
 

  #58  
Старый 04.09.2009, 20:21
.Slip
Leaders of Antichat - Level 4
Регистрация: 16.01.2006
Сообщений: 1,966
Провел на форуме:
21768337

Репутация: 3486


По умолчанию
Цитата:
Сообщение от Krist_ALL  
Mysql_real_escape_string не спасет от слепых инекций.
А не от слепых спасает?:о
 

  #59  
Старый 19.09.2009, 13:39
aleksej_sumarok
Новичок
Регистрация: 19.09.2009
Сообщений: 1
Провел на форуме:
2668

Репутация: 0
По умолчанию
Цитата:
Сообщение от nerezus  
Могу скинуть свою обертку для запросов. Нужно?
На самом деле это боян, обертка типа.
Если не трудно скинь пожалуйста
 

  #60  
Старый 27.09.2009, 21:59
Pashkela
Динозавр
Регистрация: 10.01.2008
Сообщений: 2,841
Провел на форуме:
9220514

Репутация: 3338


Отправить сообщение для Pashkela с помощью ICQ
По умолчанию
в топике ничего не упомянуто об:

1. реферере
2. сессии
3. прочие "особые" моменты

))

Практически никто этого не обрабатывает, если говорить про фул_паф_дискложен
 
 
Страница 6 из 10 « Первая < 2 3 4 5 6 7 8 9 10 >



« Предыдущая тема | Следующая тема »


Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
 


Быстрый переход




ANTICHAT.XYZ