Новые ответы

MySQL injection and other malicious input,

handler2006, 16-Дек-11, 06:55 [смотреть все]

Здравствуйте!
Вчера обнаружил на моем сайте вставленную пользователем строку через $_POST:
<script>alert(123)</script>
Начал искать статьи по валидации пользовательского ввода и все, что я нашел, это:
mysql_real_escape_string
как способ защиты от MySQL инъекций.
Где и что еще можно почитать о методах защиты сайта от подобного рода пользовательского ввода?
Спасибо.
Алексей

Ответить | Сообщить модератору

MySQL injection and other malicious input, Аноним, 09:56 , 16-Дек-11 (1)
>[оверквотинг удален]
> Вчера обнаружил на моем сайте вставленную пользователем строку через $_POST:
> <script>alert(123)</script>
> Начал искать статьи по валидации пользовательского ввода и все, что я нашел,
> это:
> mysql_real_escape_string
> как способ защиты от MySQL инъекций.
> Где и что еще можно почитать о методах защиты сайта от подобного
> рода пользовательского ввода?
> Спасибо.
> Алексей
А проверять на уровне приложения введенные пользователем данные не пробовали? Чтоб он элементарно не ввел слово туда, где надо писать числа и т.д.
Ответить | Сообщить модератору

MySQL injection and other malicious input, handler2006, 10:04 , 16-Дек-11 (2)
В конкретном случае это было название создаваемой темы на форуме
Ответить | Сообщить модератору

MySQL injection and other malicious input, Square, 08:55 , 22-Дек-11 (4)
> В конкретном случае это было название создаваемой темы на форуме
лучше всего конечно проводить проверку на уровне доступа пользователя к браузеру.. чтобы он не вводил лишних тем на форумах...
Ответить | Сообщить модератору

MySQL injection and other malicious input, cryo, 11:09 , 16-Дек-11 (3)
Смотрите HtmlSpecialChars()
Ответить | Сообщить модератору

MySQL injection and other malicious input, handler2006, 12:03 , 22-Дек-11 (5)
htmlspecialchars, mysql_real_escape_string + проверки дают некоторую степень защиты
Ответить | Сообщить модератору