3
תגובות
היי.
כשאני מכניס שאילתות ל SQL אני משתמש ב mysql_real_escape_string.. זה מספיק? או שאצטרך להשתמש גם ב htmlspecialchars?
ובקשר לאבטחת האתר, יש עוד דברים שאצטרך לעשות נגד פריצות? או רק הגנת SQLI/XSS?
תודה :).
כשאני מכניס שאילתות ל SQL אני משתמש ב mysql_real_escape_string.. זה מספיק? או שאצטרך להשתמש גם ב htmlspecialchars?
ובקשר לאבטחת האתר, יש עוד דברים שאצטרך לעשות נגד פריצות? או רק הגנת SQLI/XSS?
תודה :).
3 תשובות
ענה
משתמש_106771
ב
09 לפברואר 2012
#
יש הרבה פרצות אבטחה;
תצטרך להכיר אותם כדי להגן מהם.
בעבודה מול מסד escape_string מספיק.
htmlspecialchars זה *רק* שאתה מדפיס משהו ללקוח (echo, print..)
יש גם פרצות באינקלוד קבצים, RFI/LFI.
יש גם פרצות בהעלאת קבצים (העלאת שאלל למינהם וכו')
אני אזכר בעוד ואערוך.
אין לי צורך בהגנה נגד העלאת קבצים, מכוון שזה לא אתר שיש בו העלאת קצבים.
אשמח אם תסביר לי יותר על RFI/LFI.