SQL иньекции - Форум SAMP о мультиплеерах для GTA.

SQL иньекции

Дата: Воскресенье, 17.06.2012, 11:04 | Сообщение # 1

Global Elite

Группа: Ангел Хранитель

Сообщений: 896

Награды: 20

Репутация: 856

Замечания: 0%

Статус:

Впервые пишу юцп, хотел спросить у "профи": чем можно защитится от sql иньекций, не считая AddSlashes?
P. S. UCP MySQL

RоACh

Дата: Воскресенье, 17.06.2012, 11:39 | Сообщение # 2

Местный

Группа: Следователи

Сообщений: 737

Награды: 14

Город: Санкт-Петербург

Репутация: 3682

Замечания: 20%

Статус:

фильтрацией

Добавлено (17.06.2012, 11:39)
---------------------------------------------
приду из автошколы напишу подробно

Не бывает невыносимых людей,бывают узкие двери.
ЛС не принимаю! Все ЛС сюда http://www.samp-rus.com/index/8-10438

zEsc

Дата: Воскресенье, 17.06.2012, 11:59 | Сообщение # 3

Global Elite

Группа: Ангел Хранитель

Сообщений: 896

Награды: 20

Репутация: 856

Замечания: 0%

Статус:

Та это понятно...AddSlashes это тоже фильтрация, я просто функций незнаю.

Alcoholik

Дата: Воскресенье, 17.06.2012, 12:21 | Сообщение # 4

Мастер джэдай

Группа: Администратор

Сообщений: 8299

Награды: 111

Город: Санкт-Петербург

Репутация: 6085

Статус:

htmlspecialchars
intval

if(isset($beer)&&isset($girl)) { drink($beer);fuck($girl); }else die();
Мониторинг sa:mp серверов

Приватно никого не консультирую, моды также не пишу, ни так, ни за деньги.
Моя ICQ 675715, пишу только с неё. Все остальные Роачи фейки, ничего я не продаю и продавать не буду, вас разводят.

zEsc

Дата: Воскресенье, 17.06.2012, 12:41 | Сообщение # 5

Global Elite

Группа: Ангел Хранитель

Сообщений: 896

Награды: 20

Репутация: 856

Замечания: 0%

Статус:

Спасибо, тему думаю можно закрыть.

s3ap

Дата: Воскресенье, 17.06.2012, 17:35 | Сообщение # 6

Местный

Группа: Продвинутые

Сообщений: 570

Награды: 7

Город: Саратов

Репутация: 382

Замечания: 80%

Статус:

А причём тут htmlspecialchars?
Это скорее защита от xss, а не от sql-inj

ZiGGi

Дата: Воскресенье, 17.06.2012, 17:35 | Сообщение # 7

Мастер джэдай

Группа: Продвинутые

Сообщений: 2652

Награды: 34

Город: St. Petersburg

Репутация: 2102

Замечания: 20%

Статус:

Quote (RoACh)

htmlspecialchars

Это только от XSS.

Я думаю, что самое лучшее будет создать список разрешённых символов и проверять все вводимые данные по нему.

Бложе
[indent]Мой блог
Уроки по Pawn[/indent]

Open-GTO
[indent]Блог разработчиков
GitHub: https://github.com/Open-GTO/Open-GTO
Сборки мода с сервером тут[/indent]

Сообщение отредактировал ZiGGi - Понедельник, 18.06.2012, 17:17

stepmex

Дата: Понедельник, 18.06.2012, 12:38 | Сообщение # 8

Мастер джэдай

Группа: Продвинутые

Сообщений: 2914

Награды: 35

Город: Е-бург

Репутация: 1032

Замечания: 0%

Статус:

mysql_real_escape_string

Добавлено (18.06.2012, 12:38)
---------------------------------------------

Quote (DjCubex)

Впервые пишу юцп

Quote (DjCubex)

я просто функций незнаю.

Моё мнение - даже не стоит продолжать!

И создал Бог женщину!.. Существо получилось злобное, но симпатичное...

ZiGGi

Дата: Понедельник, 18.06.2012, 12:43 | Сообщение # 9

Мастер джэдай

Группа: Продвинутые

Сообщений: 2652

Награды: 34

Город: St. Petersburg

Репутация: 2102

Замечания: 20%

Статус:

Quote (stepmex)

mysql_real_escape_string

Где-то писали, что эту функцию можно обойти каким-то китайским иероглифом.

stepmex

Дата: Понедельник, 18.06.2012, 13:24 | Сообщение # 10

Мастер джэдай

Группа: Продвинутые

Сообщений: 2914

Награды: 35

Город: Е-бург

Репутация: 1032

Замечания: 0%

Статус:

Quote (ZiGGi)

Где-то писали, что эту функцию можно обойти каким-то китайским иероглифом.

Это офф документация, и если там ничего подобного нет, значит "где-то" врут.

И создал Бог женщину!.. Существо получилось злобное, но симпатичное...

zEsc

Дата: Понедельник, 18.06.2012, 17:15 | Сообщение # 11

Global Elite

Группа: Ангел Хранитель

Сообщений: 896

Награды: 20

Репутация: 856

Замечания: 0%

Статус:

Моё мнение - даже не стоит продолжать!

Меня волнует мнение лишь людей которые мне близки, а вас я и подавно незнаю.
P.S. Связывать два слова из разных сообщений и с разным смыслом я тоже умею.
P.P.S. В случае с ”я просто функций незнаю”, здесь любой нормальный человек понял бы что я говорю о функциях для работы со спецсимволами.

ZiGGi

Дата: Понедельник, 18.06.2012, 17:18 | Сообщение # 12

Мастер джэдай

Группа: Продвинутые

Сообщений: 2652

Награды: 34

Город: St. Petersburg

Репутация: 2102

Замечания: 20%

Статус:

Quote (DjCubex)

В случае с ”я просто функций незнаю”, здесь любой нормальный человек понял бы что я говорю о функциях для работы со спецсимволами.

Я имел ввиду preg_match, думаю это самое надёжное.

zEsc

Дата: Понедельник, 18.06.2012, 17:23 | Сообщение # 13

Global Elite

Группа: Ангел Хранитель

Сообщений: 896

Награды: 20

Репутация: 856

Замечания: 0%

Статус:

ZiGGi, извините, я не вам писал )))

Добавлено (18.06.2012, 17:23)
---------------------------------------------
А за функцию спасибо, я уже почти дописал юцп, возможно она пойдёт в паблик.

stepmex

Дата: Вторник, 19.06.2012, 12:21 | Сообщение # 14

Мастер джэдай

Группа: Продвинутые

Сообщений: 2914

Награды: 35

Город: Е-бург

Репутация: 1032

Замечания: 0%

Статус:

Quote (DjCubex)

возможно она пойдёт в паблик.

Ссылочку потом киньте, интересно будет оценить.

И создал Бог женщину!.. Существо получилось злобное, но симпатичное...

zEsc

Дата: Вторник, 19.06.2012, 17:58 | Сообщение # 15

Global Elite

Группа: Ангел Хранитель

Сообщений: 896

Награды: 20

Репутация: 856

Замечания: 0%

Статус:

Если очень надо будет - найдёте сами.