הוסטס - פורום אחסון האתרים הגדול בישראל - View Single Post - עזרה

dor77 · 30-01-09, 13:06

תודה.
תראו,
אני מכניס למסד נתונים, האופציה פתוחה לכולם, יש לי טופס שקולט את המשתנה ב POST, מכניס אותו למסד, ואז דף אחד מציג את הנתונים מהמסד.
אני רוצה שלא יוכלו להכניס html ולא יוכלו להוסיף ' כלומר לבצע sql injection.
אבל עושים sql injection רק ב get לא? כי מוסיפים ' בכתובת.
אז האם אני צריך לאבטח POSTים ב htmlspacialchars וGETים ב mysql_real_escape_string, אני צודק?
למשל id, שמוצג בכותרת אני מאבטח ב mysql_real_escape_string ואת הנתונים אני מקבל מטופס כמו העלאת מדריכים/חדשות/כל נתון אחר אז אני מעביר ב htmlspacialchars.

עשיתי פה בלאגן שלם, וההם לא עדיף כל משתנה להעיבר ב 2 הפונקציות? סתם כדי לאבטח יותר או שזה לא יעיל?

תודה.

30-01-09, 13:06	# 13
dor77 חבר וותיק מיני פרופיל תאריך הצטרפות: Jan 2008 הודעות: 1,650	תודה. תראו, אני מכניס למסד נתונים, האופציה פתוחה לכולם, יש לי טופס שקולט את המשתנה ב POST, מכניס אותו למסד, ואז דף אחד מציג את הנתונים מהמסד. אני רוצה שלא יוכלו להכניס html ולא יוכלו להוסיף ' כלומר לבצע sql injection. אבל עושים sql injection רק ב get לא? כי מוסיפים ' בכתובת. אז האם אני צריך לאבטח POSTים ב htmlspacialchars וGETים ב mysql_real_escape_string, אני צודק? למשל id, שמוצג בכותרת אני מאבטח ב mysql_real_escape_string ואת הנתונים אני מקבל מטופס כמו העלאת מדריכים/חדשות/כל נתון אחר אז אני מעביר ב htmlspacialchars. עשיתי פה בלאגן שלם, וההם לא עדיף כל משתנה להעיבר ב 2 הפונקציות? סתם כדי לאבטח יותר או שזה לא יעיל? תודה. __________________ מתכנת php אמין ומקצועי. מחירים נוחים! יצירת קשר: 0544378743