- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Все что нужно знать о DDоS-атаках грамотному менеджеру
И как реагировать на "пожар", когда неизвестно, где хранятся "огнетушители
Антон Никонов
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
Подскажите пжл какими средствами нонче пользуются для фильтрации данных в sql запросе? Например filter_var() достаточно будет?
mysql_escape_string() как я понимаю уже неактуален?
Ну и м.б. от XSS стандартные функции есть? htmlspecialchars() тоже походу уже на помойку выкинули?
Гуглить не пробовали?
PHP filter xss
https://github.com/voku/anti-xss
и тд. для любителей ковырять с нуля.
use_linux, все три упомянутые вами ф-ции нужны для совершенно разных вещей ;)
На помойку выкинули mysql_escape_string() и то только потому, что ей на смену пришла mysqli_escape_string() ;)
---------- Добавлено 10.03.2019 в 12:31 ----------
P.S. Конкретно от SQL-инъекций спасает mysqli_escape_string(), но только в умелых руках :)
---------- Добавлено 10.03.2019 в 12:34 ----------
P.P.S. Но если значения предварительно проверены на предмет отсутствия «разрушающих запрос» символов/очищены от таких символов, то и эта ф-ция не нужна.
use_linux, все три упомянутые вами ф-ции нужны для совершенно разных вещей ;)
На помойку выкинули mysql_escape_string() и то только потому, что ей на смену пришла mysqli_escape_string() ;)
---------- Добавлено 10.03.2019 в 12:31 ----------
P.S. Конкретно от SQL-инъекций спасает mysqli_escape_string(), но только в умелых руках :)
---------- Добавлено 10.03.2019 в 12:34 ----------
P.P.S. Но если значения предварительно проверены на предмет отсутствия «разрушающих запрос» символов/очищены от таких символов, то и эта ф-ция не нужна.
Вот у меня и возник такой вопрос: типа как стандартными средствами такую работу проделать, чтобы заново не изобретать велосипед)
Гуглить не пробовали?
PHP filter xss
https://github.com/voku/anti-xss
и тд. для любителей ковырять с нуля.
Гуглить пробовал, только не долго :-) Я просто пытался понять не появилось ли что-нибудь новое. А то видите ли отстал немного (думал, что отстал) от времени. Спс за инфу.
Новое - это использование ORM, где все будет придумано за тебя.
В остальном по прежнему bind/prepare и своя обертка над этим.
Stek, конечно не существует абсолютной безопасности, однако есть мнение, что метода prepare недостаточно, типа каждую переменную нужно фильтровать перед подготовкой запроса (что раньше и делал).
однако есть мнение, что метода prepare недостаточно, типа каждую переменную нужно фильтровать перед подготовкой запроса
Так это тоже самое фактически, только более правильный вариант. Главное учитывать, что ты должен работать с чистыми переменными, не прошедшими всякого рода экранировки.
P.S. Конкретно от SQL-инъекций спасает mysqli_escape_string(), но только в умелых руках :)
Конкретно от инъекций уже давно есть прекрасный класс http://phpfaq.ru/safemysql
Конкретно от инъекций уже давно есть прекрасный класс http://phpfaq.ru/safemysql
в котором всё тот же mysqli_real_escape_string
лучше всего юзать PDO или идти дальше и брать орм, чтоб вообще не думать с чем ты там работаешь на том конце, иметь для простых запросов гибкие билдеры и на выходе иметь не массив полей, а конкретный класс модели с возможностью допилить свои гидраторы
лучше всего юзать PDO или идти дальше и брать орм,
Смотря для каких целей. Когда в модели только 2 с половиной селекта, то вполне себе хватит и данного класса. А для большего есть фреймворки.
Но так то согласен.
Aisamiery, ВО-ВО! Через PDO соединяюсь. Спс за совет. Так, в этом случае prepare() достаточно будет? Наверняка этот метод должен включать в себя что-то наподобие mysqli_real_escape_string. Иначе смысл в PDO, если я могу сделать то же самое в ручную со всем необходимым функционалом?
---------- Добавлено 13.03.2019 в 04:29 ----------
Так это тоже самое фактически, только более правильный вариант. Главное учитывать, что ты должен работать с чистыми переменными, не прошедшими всякого рода экранировки.
Stek, это я и хотел выяснить.