- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Зачем быть уникальным в мире, где все можно скопировать
Почему так важна уникальность текста и как она влияет на SEO
Ingate Organic
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
Здравствуйте.
Прочитал
прошу подсказать если в урле нет данных которые код считывает с помощью POST или GET, все равно могут к урлу что то дописать?
Возможно вопрос нубский, но не могу никак понять. Просто исходя из урла страницы к бд выполняется запрос с поиском определенных данных.
или есть страница, в ней код
просто тут пишут http://php.ru/manual/security.database.sql-injection.html что
я параноик?
Если у вас совсем ничего из введенных пользователем данных не используется - то беспокоиться нечего.
Другое дело, что это маловероятно в современных сайтах. Каким образом на основе урла у вас определяет что $prod=22;?
$prod = 22;
$query = "SELECT * FROM products WHERE id LIKE '%$prod%'";
$result = mssql_query($query);
Если id задаёт не юзверь, то SQL условно безопасен. Вообще говоря любые входные параметры, вне зависимости от их появления, необходимо экранировать.
Для интов рекомендуется принудительное кастование к типу:
если в урле нет данных которые код считывает с помощью POST или GET, все равно могут к урлу что то дописать?
Дописать-то могут. Кто же им запретит-то?
Но только ничего не произойдёт.
Если у вас совсем ничего из введенных пользователем данных не используется - то беспокоиться нечего.
Другое дело, что это маловероятно в современных сайтах. Каким образом на основе урла у вас определяет что $prod=22;?
Реализовано так - берем нужную часть урла, ищем в таблице БД соответствующую строку..таким образом получаем значение $prod из другого столбца. Всё условно, но реализовано так.
если вы точно знаете, что там должно быть число, то сделать перед назначением $prod соотв. проверку
Строковые типы экранировать.
Числовые идентификаторы принудительно приводить к числовому типу (intval).
Реализовано так - берем нужную часть урла, ищем в таблице БД соответствующую строку.
Все данные поступающие от пользователя - URL, GET, POST, COOKIE и пр нужно фильтровать. В данном случае вы берете "нужную часть урла" которая поступает от пользователя, тот в свою очередь имеет возможность модифицировать его и передать вам неожиданные данные.
Строковые типы экранировать.
Числовые идентификаторы принудительно приводить к числовому типу (intval).
Все данные поступающие от пользователя - URL, GET, POST, COOKIE и пр нужно фильтровать. В данном случае вы берете "нужную часть урла" которая поступает от пользователя, тот в свою очередь имеет возможность модифицировать его и передать вам неожиданные данные.
Да, спасибо.
С числами делаем так
а с урлом так
$url= strip_tags($_url);
$url= stripslashes($url); // удаляет экранирование символов
// соединяемся с БД
$url= mysql_real_escape_string($url); //Экранирует специальные символы в строке
$result = mysql_query("SELECT nomertovara FROM `materiali` WHERE urlstranizi='$url' ");
так правильно?
так правильно?
mysql_* устарел и к использованию не рекомендуется.
mysql_* устарел и к использованию не рекомендуется.
когда придется в обязательном порядке с него перейти на что то другое?
когда придется в обязательном порядке с него перейти на что то другое?
начиная с PHP 5.5.x