Безопасность

[Jeysmook]

Подскажите пожалуйста, достаточно ли будет, для безопасности, обрабатывать get, post, функциями htmlspecialchars, trim. И обработка данных которые подставляются в sql запрос методом mysql_real_escape_string? Если нет, то приведите примеры (алгоритмы) как вы защищаете свои приложения, спасибо.

 

[Jeysmook]

Подскажите пожалуйста, достаточно ли будет, для безопасности, обрабатывать get, post, функциями htmlspecialchars, trim. И обработка данных которые подставляются в sql запрос методом mysql_real_escape_string? Если нет, то приведите примеры (алгоритмы) как вы защищаете свои приложения, спасибо.

 

[Фанат]

trim к безопасности отношения не имеет
htmlspecialchars надо применять не для get, post а для вывода в HTML. причем для вывода в любые другие среды, нужно приманять другое кодирование.
mysql_real_escape_string недостаточно. Во-первых, расширение mysql_ устарело целиком. Во-вторых, кроме строк в запросе бывает много других элементов.
я свои SQL запросы защищаю с помощью safeMysql

 

[Vladson]

Нет никакой безопасности. Выкинь книжку в которой ты это слово прочитал, и запомни автора чтоб не наступить в одно дерьмо дважды.
Прочитай http://phpfaq.ru/ там всё написано, кратко, доступно и по существу.

 

[Jeysmook]

Фанат, подскажите а как поступать с get и post данными?

 

[Фанат]

никак.
в самих по себе get и post данных нет никакой угрозы.
угроза зависит от контекста. от того, где они используются.
вот в зависимости от контекста и поступать.
получается, вежно не откуда данные пришли, а куда пойдут.
Вот еще можно почитать про разные контексты http://www.phpfaq.ru/safety

 

[Jeysmook]

Фанат, спасибо за объяснения.