Новости
Документация
Download
Webboard
Поиск
FAQ/ЧаВо
Обратная связь

MySQL.RU - Webboard



Вернуться
ВОПРОС ПО ЗАЩИТЕ (Дмитрий) 10/12/2003 - 13:30:06
      Re: ВОПРОС ПО ЗАЩИТЕ (Дмитрий) 10/12/2003 - 13:32:30
      Re: и причем тут?? (Alec) 10/12/2003 - 18:16:43
      Re: и причем тут?? (Дмитрий) 11/12/2003 - 09:50:38
      Re: и причем тут?? (Alec) 11/12/2003 - 11:25:16
      Re: и причем тут?? (Дмитрий) 11/12/2003 - 15:37:52
      Re: RTFM (Styx) 11/12/2003 - 17:20:34
      Re: и причем тут?? (walrus) 11/12/2003 - 20:56:42
      Re: нельзя удалить!!! (Alec) 15/12/2003 - 10:53:42

> Original message text:
> From: Дмитрий - 10/12/2003 - 13:30:06
> Subject:ВОПРОС ПО ЗАЩИТЕ
> -----------------
> Скажите пожалуйста.
> У меня есть форма, которая отправляет в БД MySQL данные.
> Например, есть поле name, в которое я пишу "Dima" и Dima отправляется в БД (в свою ячейку, например Name).
>
> Насколько вероятно то, что злоумышленник введя в поле name Mysql-ный запрос снесет всю базу или произведет над ней какие-либо злобные действия?
>

From: walrus - 11/12/2003 - 20:56:42
Subject:и причем тут??
-----------------
2Дмитрий. (Учиться, учиться и еще раз учиться)
1) Прежде всего - проверяйте ввод до того, как будете что-то посылать в базу. Если вводимое поле - должно быть число -проверяйте, является ли оно числом. Если должно быть слово - проверяейте - слово ли это. (То есть правило 1 - никогда не доверяйте пользовательскому вводу). проверять проще всего с помощью regexp

2) используйте функции для экранирования нелегальных символов для sql выражений. Типа mysql-escape для C, quote() для перла, addslashes для php и т.д. Они для того и предназначены, чтобы данные оставались данными а не командами.


[Это сообщение - спам!]

Последние сообщения из форума

Уважаемые посетители форума MySQL.RU!
Убедительная просьба, прежде чем задавать свой вопрос в этом форуме, обратите внимание на разделы:
- ответы на наиболее часто задаваемые вопросы - FAQ
- раздел документация
- раздел поиск по сообщениям форума и документации
Также, старайтесь наиболее подробно указывать свою ситуацию (версию операционной системы, версию MySQL, версию программного обеспечения, по которому возникает вопрос, текст возникающих ошибок, и др.)
Помните, чем конкретнее Вы опишете ситуацию, тем больше шансов получить реальную помощь.
 Имя:
 E-mail:
 Тема:
 Текст:
Код подтверждения отправки: Code
12232


РЕКЛАМА НА САЙТЕ
  Создание сайтов | |