|
MySQL.RU - Webboard
Вернуться
ВОПРОС ПО ЗАЩИТЕ (Дмитрий) 10/12/2003 - 13:30:06
Re: ВОПРОС ПО ЗАЩИТЕ (Дмитрий) 10/12/2003 - 13:32:30
Re: и причем тут?? (Alec) 10/12/2003 - 18:16:43
Re: и причем тут?? (Дмитрий) 11/12/2003 - 09:50:38
Re: и причем тут?? (Alec) 11/12/2003 - 11:25:16
Re: и причем тут?? (Дмитрий) 11/12/2003 - 15:37:52
Re: RTFM (Styx) 11/12/2003 - 17:20:34
Re: и причем тут?? (walrus) 11/12/2003 - 20:56:42
Re: нельзя удалить!!! (Alec) 15/12/2003 - 10:53:42
> Original message text:
> From: Дмитрий - 10/12/2003 - 13:30:06
> Subject:ВОПРОС ПО ЗАЩИТЕ
> -----------------
> Скажите пожалуйста.
> У меня есть форма, которая отправляет в БД MySQL данные.
> Например, есть поле name, в которое я пишу "Dima" и Dima отправляется в БД (в свою ячейку, например Name).
>
> Насколько вероятно то, что злоумышленник введя в поле name Mysql-ный запрос снесет всю базу или произведет над ней какие-либо злобные действия?
>
From: walrus - 11/12/2003 - 20:56:42
Subject:и причем тут??
-----------------
2Дмитрий. (Учиться, учиться и еще раз учиться)
1) Прежде всего - проверяйте ввод до того, как будете что-то посылать в базу. Если вводимое поле - должно быть число -проверяйте, является ли оно числом. Если должно быть слово - проверяейте - слово ли это. (То есть правило 1 - никогда не доверяйте пользовательскому вводу). проверять проще всего с помощью regexp
2) используйте функции для экранирования нелегальных символов для sql выражений. Типа mysql-escape для C, quote() для перла, addslashes для php и т.д. Они для того и предназначены, чтобы данные оставались данными а не командами.
[Это сообщение - спам!]
Последние сообщения из форума
Уважаемые посетители форума MySQL.RU!
Убедительная просьба, прежде чем задавать свой вопрос в этом форуме, обратите внимание на разделы:
- ответы на наиболее часто задаваемые вопросы - FAQ
- раздел документация
- раздел поиск по сообщениям форума и документации
Также, старайтесь наиболее подробно указывать свою ситуацию (версию операционной системы, версию MySQL,
версию программного обеспечения, по которому возникает вопрос, текст возникающих ошибок, и др.)
Помните, чем конкретнее Вы опишете ситуацию, тем больше шансов получить реальную помощь.
12232
|
|