Защита, что и как?

[CodeNOT]

Добрый день, извините если тема была, но как все же защищать скрипты. Так же как избежать sql - инъекций. Ведь вроде одно

Код:

mysql_real_escape_string()

- не должно быть достаточно.
В общем пожалуйста, подкиньте годной литературы!

[QunneD]

Бредовый вопрос.

GET:

Код:

<?php

error_reporting(0); // отключение отображения любых возникающих ошибок при работе с SQL.

$id = mysql_escape_string(htmlspecialchars($_GET['id']));

?>

POST:

Код:

<?php

error_reporting(0); // отключение отображения любых возникающих ошибок при работе с SQL.

$name = mysql_escape_string(htmlspecialchars($_POST['name']));

?>

Всё, готово, теперь Вы защищены от SQL-инъекций. Главное не забывать проделывать это со всеми переменными. Невнимательность - худший враг.

[CodeNOT]

хм, вопрос состоит в том, что уязвимость только в sql ? в самом php ее нет?

[QunneD]

Всё зависит от кривости рук программиста, и текущей установленной версии PHP/Apache и т.д. на сервере.

Конкретные вопросы задаем, получаем ответы по конкретному случаю.

По личному опыту, сколько движков под заказ я не писал, ни одной уязвимости найдено не было.

И защита скриптов не является основной защитой, ибо при необходимости заполучить доступ можно почти абсолютно ко всему.

Пример:

Проникновение злоумышленником на сервер, посредством соц. инженерии, или по глупости/уязвимости на сервере представителя хостинг-услуг.

[Andkorol]

Цитата:

Сообщение от QunneD

$name = mysql_escape_string(htmlspecialchars($_POST['name']));

mysql_escape_string():

Цитата:

Warning
This function has been DEPRECATED as of PHP 5.3.0. Relying on this feature is highly discouraged.

[Виталий Желтяков]

Хорошая годная статья

[CodeNOT]

Спасибо большое)

[dr.Chas]

я бы заменил это:

PHP код:

$id = mysql_escape_string(htmlspecialchars($_GET['id'])); 


вот этим:

PHP код:

$id = intval($_GET['id']);