29-01-2008, 00:50
|
מנהל פורומי "תכנות ובניית אתרים" ו"חומרה ורשתות"
|
|
חבר מתאריך: 25.10.01
הודעות: 42,775
|
|
ואם מתכנתים יותר מכמה דקות, מגלים שלפעמים אתה רוצה לעבוד על המידע הגולמי לפני הכנסתו למסד, ואז פתאום יש לך כל מיני סלאשים ואתה מתחרפן מאיפה הם באו...
טיפ שלי:
כללי אצבע:
1. לקבוע תחילית למשתנים מסוננים
2. אין להשתמש בתוך מחרוזת SQL במשתנים שלא מכילים תחילית זו
3. אין להציב שום דבר למשתנה שמתחיל בתחילית הנ"ל בלי ששורת ההכרזה לא מתחילה במילים mysql_escape_string
אם שומרים על 3 הכללים האלה, לעולם לא יהיה SQL Injection וגם אפשר לעבוד בקלות ובחופשיות בשאר הקוד ולא לדאוג.
וכמובן, בלי קשר לכללים אלה - לוודא שאין שום מצב שהאפשרות register_globals פועלת!!! אם כן, כבו אותה. אם אין באפשרותכם (אינכם מארחים את עצמכם), ומי שמספק לכם את האירוח מסרב - עיברו ספק אירוח !
|