שאלה בקשר לphp_flag magic_quotes_gp

[lizard]

שאלה בקשר לphp_flag magic_quotes_gp

האם זה מחליף את הaddslashes? האם זה מספיק או שצריך משהו נוסף בשביל למנוע שאילתות SQL מסוכנות?

 

[kensaggy]

גם...

addslashes לא מספיק (בכלל) כדי למנוע sql injection. -חן.

 

[lizard]

אז על מה אתה ממליץ?

 

[kensaggy]

כדי לטפל בבעיות sql injections?

הפתרון הכי טוב הוא לבנות פונקציה אישית שתוודא כי המידע שסובמט (מהמילה submit

) ע"י המשתמש תקין ואינו מכיל תוים מסוכנים (כגון # במקרה של MySQL) בנוסף לכך נבנו כבר פונקציות כאלו בעבר...חפש בגוגל את הערך anti sql injection תמצא הרבה דוגמאות קוד

בהצלחה,חן.

 

[nezek2003]

מה אתה אומר על

ctype_alnum

 

[lizard]

אני אומר שאין לי מושג על מה אתה

מדבר?

 

[nezek2003]

תסתכל פה

Returns TRUE if every character in text is either a letter or a digit, FALSE otherwise. In the standard C locale letters are just [A-Za-z] and the function is equivalent to preg_match('/^[a-z0-9]*$/i', $text). זה מה שהפקודה הזו עושה היא עוברת ובודקת אם הקלט הוא ספרות או אותיות אם יש דברים אחרים היא מחזיקה FALSE

 

[lizard]

אההה, אוקי.

כתבתי פונקצית REGEX שבודקת את זה. מה שאני כתבתי זה פונקציה שמקבלת את הטקסט, את הסוג (מייל,טקסט רגיל או מספרים) ומחזירה הודעת שגיאה בהתאם.

 

[shaked4u]

mysql_escape_string

www.php.net/mysql_escape_string