Безопасность без register_globals

[Painerman]

Здравствуйте!
Отключил register_globals на сайте.
Ранее при передаче данных форм обрабатывал переменные в принимающем файле чтобы обезопаситься от инъекций следующим образом:

При передаче целого числа: $a=(INT)$a;
При передаче текста: $a=strip_tags(trim($a));
и т.д.

Вопрос:
Стоит ли прибегать к подобной методике для защиты от инъекций если register_globals выключен?

$a=(INT)$_POST["a"];
$a=strip_tags(trim($_GET["a"]));

Спасибо!

 

[c0dex]

причем тут strip_tags и иньекции?

 

[Painerman]

х.з. - это совет был, возможно не самый лучший, помимо этого там много чего обрезается, а это лишь пример

 

[Painerman]

Видимо советчик (Valtapan) считает, что можно не только БД попортить, но и файлы и что для этого могут тэги понадобиться.
Вообще я пиратством не занимаюсь, поэтому вопросы задаю!

 

[c0dex]

Painerman
кто тебе посоветовал срезать из введенных данных тэги? Это конечно может помочь от XSS, но никак не от SQL иньекции.

Внимательно читаем: http://phpfaq.ru/slashes#injection

 

[Painerman]

Я попрошу не к словам придираться а помочь с вопросом.
Спасибо.

 

[c0dex]

Painerman
Если ты не понимаешь, что и зачем делать, надо пройти по ссылке и прочитать то, что там написано. Далее подумать, и решить, нужно ли тебе в твоем случае очищать данные так, как это сделал ты.

Кстати задачу, источник данных, ты не описал, что здесь является первым признаком того, что тема либо останется без ответа, либо съедет в оффтоп.

 

[Painerman]

Спасибо, что не нах!

 

[c0dex]

Спасибо, что не нах!

Пожалуйста, не за что, обращайтесь еще.

 

[Painerman]

Ну допустим...
Если независимо от register_globals необходимо это делать, для чего тогда раздули страшный пузырь от включенного register_globals? Выходит, отключив его я только наживу геморроя с исправлением скриптов и ничего не выиграю.
Кто-нить может сказать, что я упустил? Или у вас принято общаться ссылками на инструкции, где ответы слишком размазаны или не имеют прямого смыслового назначения, а требуют додумывания после прочтения 5-6 подобных и не зависимо от раздела, в котором был задан вопрос?

 

[Painerman]

http://citforum.ru/internet/php/register_globals/

 

[c0dex]

Painerman
Автоматическая регистрация переменных зло. register_globals должны быть выключены. Статься в пруф: http://citforum.ru/internet/php/register_globals/

 

[tiger-nick]

Использовать $_GET и $_POST правиьлнее, ты на верном пути...
Простой пример авторизации с включенным регистр глобалс:

<?
// проверка логина и пароля, которые отправлены с формы
if($login=='1' && $pass=='1') $auth=true;

if($auth==true) echo 'authorized';
?>

Можно перейти по строке: "www.домен.ru/скрипт.php?auth=true" и авторизироваться без пароля
Но это самый простейший пример, который только можно придумать

Поэтому все и говорят, что ЗЛО! Присоединяйся - не просто так пишут