Как убрать XSS и тд.

17 Июня 2014
Вот хочу вас спросить, как правильно убирать XSS, SQL Injection, Active Script. Вот к примеру код:

<?
mysql_query("UPDATE `gruppy_obmen_dir` SET `name`='".esc(htmlspecialchars($_POST['name']),1)."', `dir`='".$downpath."$newdir/', `dir_osn`='".$downpath."' WHERE `id_gruppy` = '$gruppy[id]' AND `dir` = '/$l' OR `dir` = '$l/' OR `dir` = '$l' LIMIT 1");
?>

Тут в коде SQL Injection!
тут

Статистика WMID автора:

110566127412 BL

Претензии | Отзывы

Комментарии:

vityachis

9 Июля 2014

Zed (9 Июля 2014):
vityachis, при записи в базу тесктовых значений mysql_real_escape_string();
Для записи или запроса цифровых значений будет лучше intval();
При выводе чего либо из базы htmlspecialchars();

VoronoZ, ну и это тоже smile

Zed

9 Июля 2014

vityachis (9 Июля 2014):
Фильтруй переменные!
Гет, пост и т.п. (строки) с помощью - htmlspecialchars();
Для других типов данных - Ссылка ;
Для запроса в БД - mysql_escape_string();
Ну это основное smile

vityachis, при записи в базу тесктовых значений mysql_real_escape_string();
Для записи или запроса цифровых значений будет лучше intval();
При выводе чего либо из базы htmlspecialchars();

Freedom 9 Июля 2014

vityachis, mysql_real_escape_string()

vityachis

9 Июля 2014
Фильтруй переменные!
Гет, пост и т.п. (строки) с помощью - htmlspecialchars();
Для других типов данных - Ссылка ;
Для запроса в БД - mysql_escape_string();
Ну это основное smile

Cистема 9 Июля 2014
Тему переместил Админ форума SakamskY из раздела Баги (ошибки) движка в раздел Помощь мастерам

rodost

9 Июля 2014
Ага. Нашел куда написать. Не видел какие вопросы в разделе? "что с иконками?". Пиши лучше друг в другой раздел, а еще лучше напиши на форуме на фиере.