SQL injection и magic_quotes_gpc = On
Сейчас эксперементировал с sql-иньекциями. Я знаю что вверху есть специальная тема по безопасности, но ответ предельно краток.
При magic_quotes_gpc = On инъекция ведь становится невозможной, так ведь? Если нет, поясните пожалуйста. Сейчас передо мной стоит задача обезопасить свой двиг. С одной стороны переменные надо фильтровать, но с другой стороны, если magic_quotes_gpc справляется на отлично - зчем переживать?
P.S Проект будет работать на выделенном сервере, где я, конечно же, включу magic_quotes_gpc .
При magic_quotes_gpc = On инъекция ведь становится невозможной, так ведь? Если нет, поясните пожалуйста. Сейчас передо мной стоит задача обезопасить свой двиг. С одной стороны переменные надо фильтровать, но с другой стороны, если magic_quotes_gpc справляется на отлично - зчем переживать?
P.S Проект будет работать на выделенном сервере, где я, конечно же, включу magic_quotes_gpc .
magic_quotes это не панацея от инъекций.
Вот тебе пример когда magic_quotes не помогут
И если засадить в $id например такую строчку '-1;DELETE FROM table1' то вуаля -колдовство работает
Вот тебе пример когда magic_quotes не помогут
Код:
<?
$id = $_GET['id'];
mysql_query("SELECT * FROM table1 WHERE bookid=$id");
?>
$id = $_GET['id'];
mysql_query("SELECT * FROM table1 WHERE bookid=$id");
?>
И если засадить в $id например такую строчку '-1;DELETE FROM table1' то вуаля -колдовство работает
Этол если в самих sql запросах не использовать ковычек. Например приведенный вами запрос я бы написал так:
Цитата:
mysql_query("SELECT * FROM table1 WHERE bookid='{$id}' ");
В общем еще раз
magic_quotes недостаточно для полной защиты от SQL-инъекций
за дополнительными материалами сходи к дядюшке гуглу - он все знает
magic_quotes недостаточно для полной защиты от SQL-инъекций
за дополнительными материалами сходи к дядюшке гуглу - он все знает