ציטוט:
|
נכתב במקור על ידי CriSis
כלומר...
ידוע שאפשר להוסיף קודים זדוניים בGET...כלומר במקום:
index.php?p=134
אפשר להחליף ת134 בOR למשל או כל דבר אחר...אז איך אני יכול לעשות שקודם שהPHP יבדוק אם מה שהוא קלד הוא 100% מספר? ידוע שיש לדוגמה את האות e שתכלס היא גם "מספר" כי יש לך במתמתיקה ערך מספרי...אז איך אני יכול לעשות כך שהוא יקח אך ורק מספרים ? (אהה ושאלו יהיו מספרים שלמים בלבד...)
אההה ויש לי עוד שאלה...
נגיד ואני רוצה לעשות הוצאה של נתונים מהמסד מID שנמצא בכתובת...כלומר אני נכנס ככה:
index.php?act=news&id=452
כיצד אני יכול לעשות כך שנגיד וכתבה מס' 452 לא נמצאת אז שידפיס שהכתבה לא נמצאת...
|
כלל ברזל-
אף פעם אל תבנה שאילתה באופן דינמי על-סמך ערכים שהשמשתמש מכניס, או יכול לשנות, ללא שזה עבר קודם מתודה לאימות הקלט.
ככה, תבטיח את עצמך כנגד חלק גדול מהבעיות.
כלל ברזל2-
תבנה דפי שגיאה מותאמים אישית לכל שגיאה שעלולה להיות.
מפה, זה כבר תלוי בארכיטקטורה של המערכת שלך.