Правильная защита от неправильного пользователя

Тема в разделе "Базы данных", создана пользователем virtualbrest, 5 ноя 2008.

Статус темы:
Закрыта.
Модераторы: latteo
  1. virtualbrest

    virtualbrest

    Регистр.:
    6 май 2007
    Сообщения:
    210
    Симпатии:
    18
    Даю доступ всем подряд на своем сайте для ввода данных в виде текста, вопрос в том, как правильно защититься от нерадивых или злых пользователей. Желательно HTML не резать, точнее в некоторых местах надо резать, в некоторых нет.
    Есть какой-то универсальный код для защиты? Хотелось бы и от инъекций защититься :)
     
  2. Pedr0

    Pedr0 Создатель

    Регистр.:
    28 авг 2008
    Сообщения:
    17
    Симпатии:
    0
    что ты имел ввиду под фразой "не резать HTML"?
    если пользователи должны вводить форматированный текст, то используй коды (например по типу BB-кодов) убьешь двух зайцев.
    От инъекций читать статьи тебе советую их много, поиском воспользуйся.
    есть алгоритмы предотвращающие в общих случаях инъекции, но их бывает недостаточно ввиду специфики твоего проекта, так что часто очень нужно самому дописывать их.
     
  3. Freeborn

    Freeborn Постоялец

    Регистр.:
    31 окт 2008
    Сообщения:
    62
    Симпатии:
    21
  4. DonySuXX

    DonySuXX Писатель

    Регистр.:
    7 июл 2008
    Сообщения:
    7
    Симпатии:
    0
    От инъекций лучше пользоваться параметризироваными запросами.
    Для начала просто по возможности используй процедуры и не клей SQL запрос на ходу.
     
  5. AdMeen

    AdMeen Создатель

    Регистр.:
    19 май 2010
    Сообщения:
    13
    Симпатии:
    0
    Согласитесь, фактически, любой запрос сложнее
    PHP:
    SELECT FROM tbl_name
    приходиться клеить на лету.

    а,вообще, универсального решения не существует, единственное, не допускать вхождения спец символов sql запроса, и защищать себя от xss атак, и использовать как можно больше проверок.
     
Статус темы:
Закрыта.