 |
|
19.12.2011, 20:36
|
|
Постоянный
Регистрация: 13.10.2010
Сообщений: 375
Провел на форуме:
97332
Репутация:
38
|
|
Expl0ited, спасибо, очень подробно и доступно описано!
Но у меня вопрос, отдельно is_numeric() как-то обойти возможно? Если использовать хекс?
Тоесть как минимум нужно написать unhex(), а это уже не число.
|
|
|
19.12.2011, 20:44
|
|
Познавший АНТИЧАТ
Регистрация: 16.07.2010
Сообщений: 1,022
Провел на форуме:
262707
Репутация:
935
|
|
Сообщение от Pirotexnik
Expl0ited
, спасибо, очень подробно и доступно описано!
Но у меня вопрос, отдельно is_numeric() как-то обойти возможно? Если использовать хекс?
Тоесть как минимум нужно написать
unhex()
, а это уже не число.
Больше нет, чем да.
|
|
|
|
19.12.2011, 20:51
|
|
Постоянный
Регистрация: 13.10.2010
Сообщений: 375
Провел на форуме:
97332
Репутация:
38
|
|
Мм, а не подскажете, как нащет стринговых запросов?
Как защищаются от инъекций в них, и как проводят?
|
|
|
|
19.12.2011, 20:53
|
|
Познавший АНТИЧАТ
Регистрация: 16.07.2010
Сообщений: 1,022
Провел на форуме:
262707
Репутация:
935
|
|
Всё это можно найти здесь: /thread43966.html
В большинстве случаев достаточно фильтровать кавычки.
|
|
|
|
20.12.2011, 01:23
|
|
Новичок
Регистрация: 21.12.2009
Сообщений: 0
Провел на форуме:
15756
Репутация:
0
|
|
Сообщение от Expl0ited
Всё это можно найти здесь: /thread43966.html
В большинстве случаев достаточно фильтровать кавычки.
Ни в коем случае ненадо ничего фильтровать
Нужно грамотно работать с типами данных.
(int) intval() is_numeric() для числовых
mysql_real_escape_string() для строковых
Всё.
PS Только не нужно мне показывать intval в условиях и кривые реализации в коде. Я всё это знаю.
Если один раз прочитать мануалы к 3-м функциям и делать правильно, скулей не будет )
|
|
|
|
20.12.2011, 01:26
|
|
Постоянный
Регистрация: 24.06.2009
Сообщений: 542
Провел на форуме:
2101094
Репутация:
672
|
|
KolosJey
Expl0ited именно эти функции имел ввиду, так как вопрос был следующим
"а не подскажете, как нащет стринговых запросов?"
|
|
|
|
20.12.2011, 01:32
|
|
Новичок
Регистрация: 21.12.2009
Сообщений: 0
Провел на форуме:
15756
Репутация:
0
|
|
Konqi
"Фильтрация кавычек" подразумевает именно фильтрацию. Возможно я что то не так понял, но для меня совершенно однозначно понятие "фильтрация" не вяжется с функцией mysql_real_escape_string. Она ничего не фильтрует.
И если я так понял пост Expl0ited'а, то думаю кто то запросто мог его понять так-же.
|
|
|
|
20.12.2011, 01:37
|
|
Постоянный
Регистрация: 24.06.2009
Сообщений: 542
Провел на форуме:
2101094
Репутация:
672
|
|
KolosJey
в случий стринговых запросов (входящие данные типа стринг), думаю ни один разумный кодер не будет фильтрировать запрос через регулярку или вхождение в строке, понятно же что самый оптимальный и правильный вариант это экранирование ковычек
|
|
|
|
20.12.2011, 02:06
|
|
Познавший АНТИЧАТ
Регистрация: 16.07.2010
Сообщений: 1,022
Провел на форуме:
262707
Репутация:
935
|
|
Сообщение от KolosJey
Нужно грамотно работать с типами данных.
(int) intval() is_numeric() для числовых
mysql_real_escape_string() для строковых
Те же грабли только в профиль.
Сообщение от None
Фильтровать несов. перех. 1)
Пропускать через фильтр
, очищая, освобождая от примесей.
В моем посте имелось ввиду, обработать входящие данные, в соответствии их типу различными функциями. Самый надежный способ:
PHP код:
[COLOR="#000000"][COLOR="#0000BB"][/COLOR][COLOR="#007700"][/COLOR][/COLOR]
И вообще, мы далеко ушли от темы, автор темы получил желаемый ответ. За сим тему закрываю.
|
|
|
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Линейный вид
