![]() |
На сервере сделал фильтрацию GET, POST если в них встречается все операторы sql типа select, union, insert, update и т.д.
Этот фильтр можно обойти как-нибудь? допустим бывают ли закодированные инъекции и как от них защититься? у меня так ток стоит проверки-фильтры перед вводом, выводом в mysql. но на всякий случай решил сделать фильтрацию get & post еще у меня отключен вывод всех ошибок php |
если проверка не регистра-зависима то обойти не получится, кодировать можно сколько хочешь, но если даже обойдут фильтр то база все равно не принет операторы в кодированном виде
|
Почитай фаги, по защите, а так сделай уровни фильтрации и все - у меня почти все типы фильтраций есть. Если ты так боишься за то что расскрутят.
|
Цитата:
|
Цитата:
методах? |
Цитата:
|
Цитата:
но я имел ввиду методы передачи данных но очевидно что фильтр GET/POST не поможет от иньекций в куках и в хидере запроса |
Цитата:
И в mysqli есть какаето фишка типо приготовления запросов которая тоже sql иньекции исключает, ибо приводит к типу. Вроде шаблоны называться. Вообще лучше использовать фреймверк для работы с БД и не писать кучу вело-кода. |
А COOKIE? И в HEAD встречается из-за особенностей скрипта.
|
Самые смачные магазы вечно горят на странице корзины, потому что не фильтруют кукисы
|
| Время: 04:56 |