Вопрос о защите баз данных.

[msz]

Вопрос о защите баз данных.

Как максимально себя обезопасить от взлома БД, инъекци и пр.

Для записи в БД с форм делаю след.:
$name=trim($name);
$name=stripslashes($name);
$name=htmlspecialchars($name);

При выводе из БД всегда проверяю по ИД в базе.


Какие дополнительно следует проводить проверки?

 

[zerkms]

Для записи в БД с форм делаю след.:
$name=trim($name);
$name=stripslashes($name);
$name=htmlspecialchars($name);

бред

Какие дополнительно следует проводить проверки?

нужно то что выше выкинуть фтопку, вместо этого:
1. для строк юзать mysql_real_escape_string
2. числа принудительно кастовать к числам (Например: (int)$id)

 

[Фанат]

Интересно, оно все так же обнуляет автоинкремент в базе, или поумнело с тех пор?
Боюсь, с таким соотношением интеллекта к адекватности его оценки от взлома уже ничего не поможет.

 

[msz]

б*я, встретился я бы с тобой, фанат.... сказать тебе пару ласковых... а то через форумы все умные

 

[Фанат]

К своему огорчению, я оказался прав...

 

[DiMA]

msz
слышь дудило, причем совершенно не умное даже через форум, давай приезжай, послушаю твои слова.. таких как ты тут пачками ходят, ни один так и не приехал

тока проблема в том, что подобные желания убиваются о проблему поиска адреса приезда (хотя для выяснения этого нужно пару минут в гугле)... а так мля гонора "Ща как найду, сразу приеду!" =)

теперь о теме

Ко мне на собеседование ходят люди, которые 5-10 лет(!) программируют на PHP/JAVA/SQL и до сих пор не знают о addslashes. Приходится им вместо собеседования их первый попавшийся сайт ломать (за 5 минут), иначе таким убожествам ничего не доказать. Ты - одно из них. Поэтому заткнись и делай как сказано во втором посте.

 

[DiMA]

Тема закрыта. Читаем FAQ.

Прежде чем задавать вопрос - прочтите FAQ:
http://phpfaq.ru
http://phpclub.ru/faq
http://phpclub.ru/detail/tree.phtml