Автор Тема: Защита от SQL-инъекций в PHP и MySQL  (Прочитано 1178 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн sadex13

  • Разработчик
  • *****
  • Сообщений: 1097
    • Просмотр профиля
  • Версия modx: Evo 1.0.6, ClipperCMS 1.2.6
Защита от SQL-инъекций в PHP и MySQL
« : 26 Февраль 2014, 15:00:43 »
Хорошая одноименная статья на хабре
http://habrahabr.ru/post/148701/

Основное

Правила, соблюдение которых гарантирует нас от инъекций

1. Данные подставляем в запрос только через плейсхолдеры.
2. Идентификаторы и ключевые слова подставляем только из белого списка, прописанного в нашем коде.

Всего два пункта. Но у этого списка есть большое достоинство — он точный и исчерпывающий. В отличие от укоренившихся в массовом сознании правил «прогонять пользовательский ввод через mysql_real_escape_string» или «всегда использовать подготовленные выражения», этот набор не является катастрофическим заблуждением (как первое) или неполным (как второе).
(с) Автор статьи.

Подробный разбор - в статье по ссылке.
FluxBB (PHP/MySQL) - легкий и быстрый форум для MODX с открытым кодом, минимальные требования к ресурсам.