Как сделать пуленепробиваемый GET/POST запрос/передачу данных

[Denixxx]

Использовать $ в конце искомой строки и настоятельно рекомендую вам ограничивать длину "валидной" строки.

Несколько раз перечитал и не понял что значит: «Использовать $ в конце искомой строки». Это где — в регулярке или в запросе?
И зачем?

 

[stealthdebuger]

В регулярке, конечно же.
Надеюсь, что вознесенные молитвы великому Гугле и очищенное сознание помогут понять "зачем".

 

[m1ko]

Более удачным решением было бы не "вырезать невалидную инфу", а отсекать подобные запросы, уведомляя администратора сайта о попытке "взлома".
Использовать $ в конце искомой строки и настоятельно рекомендую вам ограничивать длину "валидной" строки.

А вот про $ я и не понял, вот опять же, тема создана, а мнения расходятся, про DPO начну все же пытаться перейти на него..

 

[m1ko]

Мини туториал по PDO:
Подключение:

$db = new PDO('mysql:host=localhost;dbname=testdb;charset=utf8', 'username', 'password');

Самый простой запрос:

$row = $db->query('SELECT * FROM `table`');

Получение записей:

while($fetch = $row->fetch()){
        print_r($fetch);
}

Запрос с защитой от инъекции:

$select = $db->prepare('SELECT * FROM `table` WHERE `name`=:name'); // Подготовка запроса
$data['name'] = $_POST['name']; // данные для запроса (массив)
$row = $select->execute($data); // Выполнение запроса

Это всё что необходимо знать...

Этого мало на сколько я догадываюсь, нужен вывод ошибок и т.д.
И не думаю что этого хватит для защиты.

 

[stealthdebuger]

тема создана, а мнения расходятся

Заголовок темы говорит о получаемых запросах, а не данных, которые поступают в SQL-запросы.
Всегда стоит помнить следующее: проверять тип полученных данных, ограничивать длину получаемых данных, проверять регуляркой точное соответствие полученных данных по шаблону ожидаемых и отсекать все, что не соответствует заданным условиям.

 

[m1ko]

Вот было бы не плохо рабочий хороший пример от get/post -> обработчик -> и уже безопастное добавление этого массива в базу через pdo, буду ппц как благодарен за этот кусок кода, дайте новому поколению правильной маны

 

[Denixxx]

Позволю себе последнее флудо-сообщение в данной теме

Любезный, я задаю вопрос. потому что мне не ясно что имеется в виду. Я не стараюсь писать флуд, а пытаюсь понять — Вы что-то критикуете, и я НЕ ПОНИМАЮ что. При этом даже не понятно — что гуглить-то? При чём здесь знак доллара?
Я понимаю, что облеченному властью ничего не стоит удалить сообщения или забанить пользователя.
Я сам модер/админ в 3 других местах, если что. Неужели так трудно ответить?
Напомню, что меня интересует.
Вы зацепили меня, что функция отсюда — Для просмотра ссылки Войди или Зарегистрируйся неправильно работает. Нужно куда-то там в регулярку добавлять знак доллара для чего-то. Этот код у меня работает на более чем 20 сайтах. Ну так помогите человеку уже, подскажите — где там (по Вашему) косяк. Может, я соглашусь. Имхо, посылать в Гугл не зная как вопрос задать — это конечно проще всего, но ничего не дает.

 

[Jensi]

Вы зацепили меня, что функция отсюда — Для просмотра ссылки Войди или Зарегистрируйся неправильно работает. Нужно куда-то там в регулярку добавлять знак доллара для чего-то. Этот код у меня работает на более чем 20 сайтах. Ну так помогите человеку уже, подскажите — где там (по Вашему) косяк. Может, я соглашусь. Имхо, посылать в Гугл не зная как вопрос задать — это конечно проще всего, но ничего не дает.

Полагаю, он имеет ввиду что знак доллара -- $ -- в конце регулярного выражения соответствует концу строки. Спасибо за скрипт, чуток допилю его потом.

Вот было бы не плохо рабочий хороший пример от get/post -> обработчик -> и уже безопастное добавление этого массива в базу через pdo, буду ппц как благодарен за этот кусок кода, дайте новому поколению правильной маны

Да там писать толком то нечего, всё зависит от того, что надо фильтровать. У вас уже есть "свой собственный" обработчик, доделывайте его со временем и всё. Просто всегда нужно любые данные фильтровать перед обработкой и всё.

 

[m1ko]

Полагаю, он имеет ввиду что знак доллара -- $ -- в конце регулярного выражения соответствует концу строки. Спасибо за скрипт, чуток допилю его потом.

Да там писать толком то нечего, всё зависит от того, что надо фильтровать. У вас уже есть "свой собственный" обработчик, доделывайте его со временем и всё. Просто всегда нужно любые данные фильтровать перед обработкой и всё.

Давайте уже по делу, я же сказал какие данные будут фильтроваться, причем тут зависит от того какие они будут если уже есть пример?
попросил конкретный пример, нет сейчас каждый умник вставит свое слово, а пользы нет.

 

[m1ko]

Ответ получен, огромное спасибо Для просмотра ссылки Войди или Зарегистрируйся, тему можно закрывать.