PHP protection de paramètres
OK considérer cette url:
example.com/single.php?id=21424Il est assez évident pour vous et moi que le PHP va prendre l'id et le lancer à travers une requête mysql pour récupérer 1 record pour l'afficher sur la page.
Est-il de toute façon malveillant pirate informatique pourrait mess cette url et constituent une menace pour la sécurité de mon application/mysql DB?
Grâce
stackoverflow.com/questions/601300/what-is-sql-injection
Bien SÛR. N'importe qui pouvait écrire ce qu'ils veulent.
Indépendamment de l'aspect sécurité, il n'est également pas une bonne conception de l'application pour exposer la base de données interne des identificateurs. La plupart des objets dans la base de données ont un nom ou un titre, qui devrait privilégier, car les paramètres d'URL, lorsque cela est possible.
Bien SÛR. N'importe qui pouvait écrire ce qu'ils veulent.
Indépendamment de l'aspect sécurité, il n'est également pas une bonne conception de l'application pour exposer la base de données interne des identificateurs. La plupart des objets dans la base de données ont un nom ou un titre, qui devrait privilégier, car les paramètres d'URL, lorsque cela est possible.
OriginalL'auteur benhowdle89 | 2011-02-23
Vous devez vous connecter pour publier un commentaire.
Bien sûr, jamais, jamais jamais envisager une entrée d'utilisateur (_GET, _POST, _COOKIE, etc) en tant que coffre-fort.
Utiliser mysql_real_escape_string fonction php pour désinfecter vos variables: http://php.net/manual/en/function.mysql-real-escape-string.php
Sur les injections SQL : http://en.wikipedia.org/wiki/SQL_injection
Bien sûr, les thèses ne sont que des exemples 🙂
OriginalL'auteur Intrepidd
Tout dépend de la filtration explicitement (avec
filter_var()par exemple) ou implictely (à l'aide de déclarations préparées à l'avance par exemple).OriginalL'auteur greg0ire
Il y a bien d'injection Sql
http://en.wikipedia.org/wiki/SQL_injection
OriginalL'auteur Voooza