Вопросы по инъекциям

1.79K
.
REALball (01.12.2011/14:52)
Док мне то зочем думать? Я это всё знаю
Зачем тогда спрашиваеш?
.
OnLine Quest Game
Ребят,срать и флудить не нужно то.
Если есть конкретные вопросы и замечания то пишите,а в игру знаю не знаю будете в личке играть.
.
ПФК ЦСКА forever!
k_2 (01.12.2011/14:53)
Зачем тогда спрашиваеш?
Просто проверил сколько людей это ещё знают
.
OnLine Quest Game
Kip-OK (01.12.2011/14:53)
1. вы лучше расскажите нужно ли фильтровать такие "куски" как ?act=ololo и если да то как
2. как и когда фильтровать text. до ввода или перед выводом?
Смотря куда их ведешь,если просто на обьявление по типу
switch
то можно и не фильтровать так как все значения в нем уже предопределены.
А вот если таким образом делаешь вывод или запись с базы например то обязательно.
.
ПФК ЦСКА forever!
Kip-OK (01.12.2011/14:53)
1. вы лучше расскажите нужно ли фильтровать такие "куски" как ?act=ololo и если да то как
2. как и когда фильтровать text. до ввода или перед выводом?
1) вроде никак и не нада
2) При записе в БД
.
OnLine Quest Game
Kip-OK (01.12.2011/14:53)
2. как и когда фильтровать text. до ввода или перед выводом?
С текстом проще работать когда он еще сырой,то есть в базу сохранять надо таким какой он есть,а вот выводить обязательно с фильтрцией, даже если перед вводом в базу отфильтровал.
.
Блиносвёрт ?
у меня вопрос такой, предположим я id отфильтровала и отправила в базу
$id = abs(intval($_GET['id']));

то есть туда ушло число..
нужно ли мне при выводе этого поля из базы еще раз фильтровать?
.
Йытлеж Пок пик
REALball (01.12.2011/14:56)
2) При записе в БД
каг? Гг
.
OnLine Quest Game
Jane (01.12.2011/14:57)
у меня вопрос такой, предположим я id отфильтровала и отправила в базу
$id = abs(intval($_GET['id']));

то есть туда ушло число..
нужно ли мне при выводе этого поля из базы еще раз фильт
Зачем? У тебя там конкретные числа, фильтр интвал не пропустит ничего кроме цифр,а одними цифрами ты бяку не сделаешь.
.
REALball
ПФК ЦСКА forever!
Kip-OK (01.12.2011/14:57)
каг? Гг
functions::check() - для джона самое то, в остальных случаях тупо mysql_real_escape_string()
Всего: 67