|
|
|
PHP - инъекции
|
|||
|---|---|---|---|
|
#18+
Добрый день господа, вот сегодня возникли в оффисе дебаты об инъекция в SQL, и я настаиваю на своем а именно: Никогда никто не добавит инъекцию и ваш SQL, если вы каждное значение как минимум будите пропускать через функции addslashes и при вставке в запрос брать в кавычки!!! Что вы думаете по этому поводу? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 14.08.2012, 18:51:46 |
|
||
|
PHP - инъекции
|
|||
|---|---|---|---|
|
#18+
полная фигня!!!11111 ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 14.08.2012, 19:32:02 |
|
||
|
PHP - инъекции
|
|||
|---|---|---|---|
|
#18+
а если я обратный слеш напишу, то он заэкранирует слэш который экранирует кавычку? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 14.08.2012, 20:39:46 |
|
||
|
PHP - инъекции
|
|||
|---|---|---|---|
|
#18+
Hettа если я обратный слеш напишу, то он заэкранирует слэш который экранирует кавычку? addslashes - заэкранирует это слэшь, т.е. придет не \ а \\ и далее будет взято в кавычки. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 14.08.2012, 22:21:05 |
|
||
|
PHP - инъекции
|
|||
|---|---|---|---|
|
#18+
ScareCrowполная фигня!!!11111 Есть ли что то более существенное чем единички. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 14.08.2012, 22:21:36 |
|
||
|
PHP - инъекции
|
|||
|---|---|---|---|
|
#18+
PHP программист не умеющий пользоваться гугелем это оксюморон. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 14.08.2012, 23:32:39 |
|
||
|
PHP - инъекции
|
|||
|---|---|---|---|
|
#18+
ScareCrow http://shiflett.org/blog/2006/jan/addslashes-versus-mysql-real-escape-string Ну да, это актуально для какого-то китайского чарсета. This type of attack is possible with any character encoding where there is a valid multi-byte character that ends in 0x5c, because addslashes() can be tricked into creating a valid multi-byte character instead of escaping the single quote that follows. UTF-8 does not fit this description. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 15.08.2012, 07:18:54 |
|
||
|
PHP - инъекции
|
|||
|---|---|---|---|
|
#18+
Oracle, пока вы колбасите чтото свое, где все можете контролировать - возможно волноваться нечего. а когда делаете или поддерживаете уже готовые проекты с наследием разной степени запущенности - применение нужных инструментов в соответсвующих местах избавляет от многих проблем в будущем. зачем использовать везде addslashes когда сами разработчики говорят вам - пользуйтесь СПЕЦИАЛЬНО созданными для этого функциями. а лучше начните уже юзать чтото типа PDO - и описанные вами проблемы вообще вас больше волновать не будут. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 15.08.2012, 08:44:49 |
|
||
|
PHP - инъекции
|
|||
|---|---|---|---|
|
#18+
http://www.sql.ru/faq/faq_topic.aspx?fid=2204 Кстати, пора, наверное, уже про ПДО таки родить. Кто поможет? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 15.08.2012, 09:43:07 |
|
||
|
PHP - инъекции
|
|||
|---|---|---|---|
|
#18+
r uOracle, пока вы колбасите чтото свое, где все можете контролировать - возможно волноваться нечего. а когда делаете или поддерживаете уже готовые проекты с наследием разной степени запущенности - применение нужных инструментов в соответсвующих местах избавляет от многих проблем в будущем. зачем использовать везде addslashes когда сами разработчики говорят вам - пользуйтесь СПЕЦИАЛЬНО созданными для этого функциями. а лучше начните уже юзать чтото типа PDO - и описанные вами проблемы вообще вас больше волновать не будут. Я согласен, что ПДО сейчас рулит, но просто спор зашел о том что все инъекции одной всего лишь фунцией можно порубить. Всем спасибо. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 15.08.2012, 16:12:07 |
|
||
|
|
start [/forum/topic.php?fid=23&msg=37916660&tid=1464804]: |
0ms |
get settings: |
7ms |
get forum list: |
16ms |
check forum access: |
2ms |
check topic access: |
2ms |
track hit: |
174ms |
get topic data: |
9ms |
get forum data: |
2ms |
get page messages: |
44ms |
get tp. blocked users: |
1ms |
| others: | 199ms |
| total: | 456ms |
| 0 / 0 |
