| |
|
|
| | Здравствуйте! Подскажите плз, как безопасно принять в скрипт строковую переменную, переданную методом Get и какими функциями обработать??? | |
| |
|
|
| |
|
|
| |
для: _deniska_
(16.03.2009 в 00:47)
| | | Обрабатывай htmlspecialchars() и еще mysql_escape_string(), если используешь переменную в sql-запросах.
Ну и, конечно, есть другие нюансы, но это уже нужно код смотреть. | |
| |
|
|
| |
|
|
| |
для: Mookapek
(16.03.2009 в 02:43)
| | | >Обрабатывай htmlspecialchars()... если используешь переменную в sql-запросах.
С какого перепугу? | |
| |
|
|
| |
|
|
| |
для: Loki
(16.03.2009 в 10:18)
| | | Я про mysql_escape_string говорил относительно использования в sql-запросах! | |
| |
|
|
| |
|
|
| |
для: Mookapek
(16.03.2009 в 02:43)
| | | Нет, переменная в sql запросах не используеться. Допустим есть сто файлов , а через эту переменную должно передаваться имя файла для обработки. | |
| |
|
|
| |
|
|
| |
для: _deniska_
(16.03.2009 в 10:25)
| | | По возможности, не передавайте по ГЕТ расширение файла и полный путь к нему, на входе проверяйте файл на наличие (is_readable, is_file, file_exists), и исключите попадание в индексный файл (чтобы не вызвать рекурсию).
смысл в том, чтобы скажем www.site.ru?file=index.php не стало бомбой, а www.site.ru?file=CruelSite.ru/virus.php вообще не грузилось.
Ну это я на случай, елси Вы собираетесь таким образом подгружать страницы сайта инклюдом. | |
| |
|
|
| |
|
|
| |
для: DJ Paltus
(16.03.2009 в 10:55)
| | | Спасибо за помощь)))) | |
| |
|
|
