(29 фев 2016, 19:55) (0/0)
[0]
bibilink, или допустим даже если сделать вот так обычно
<?
$q = 'test';
echo mysql_real_escape_string($q);
?>
то текст не выводтся, белый экран. а без mysql_real_escape.. всё норм.
<?
$q = 'test';
echo mysql_real_escape_string($q);
?>
то текст не выводтся, белый экран. а без mysql_real_escape.. всё норм.
(29 фев 2016, 19:34) (0/0)
[0]
Wins, Для теста потестил кое что,
Если сделать так:
<?
foreach($_GET as $key=>$value){
$_GET[$key]=mysql_real_escape_string($value);}
echo $_GET['p'];
?>
и вводить http://site/?p=test
То в экран ничего не выводит, пустая белая страница
а если mysql_real_escape_string заменить на htmlspecialchars то всё норм, а почему так?
Если сделать так:
<?
foreach($_GET as $key=>$value){
$_GET[$key]=mysql_real_escape_string($value);}
echo $_GET['p'];
?>
и вводить http://site/?p=test
То в экран ничего не выводит, пустая белая страница
а если mysql_real_escape_string заменить на htmlspecialchars то всё норм, а почему так?
(29 фев 2016, 19:11) (0/0)
[0]
Wins,
А если допустим так:
foreach($_GET as $key=>$value){
$_GET[$key]=mysql_escape_string($value);}
mysql_query("insert into `table` set `text` = '".$_GET['text']."'"
;
Будет ли фильтрироваться text в запросе?
---
Знаю что код говно, хочется уточнить принцип.
foreach($_GET as $key=>$value){
$_GET[$key]=mysql_escape_string($value);}
mysql_query("insert into `table` set `text` = '".$_GET['text']."'"
;Будет ли фильтрироваться text в запросе?
---
Знаю что код говно, хочется уточнить принцип.
(29 фев 2016, 19:02) (0/0)
[0]
acorn,
ну код г да, просто я хочу понять принцип mysql. Тоесть если не фильтрировать и вторую строку то считается уязвимостью?
(29 фев 2016, 18:56) (0/0)
[0]
Не доходит одна фишка.
Допустим есть код
isset($_GET['text']) ? mysql_real_escape_string($_GET['text']) :false;
mysql_query("insert into `table` set `text` = '".$_GET['text']."'";
Естественно в первой строке кода text фильтрируется но во второй строке уже $_GET['text'] применяется без фильтра, так вот вопрос, как PHP обрабатывает такой код? То есть если в первой строке уже фильтрируется get запрос то достаточно или с 2 строки php начинает обрабатывать заного?
Допустим есть код
isset($_GET['text']) ? mysql_real_escape_string($_GET['text']) :false;
mysql_query("insert into `table` set `text` = '".$_GET['text']."'"
;Естественно в первой строке кода text фильтрируется но во второй строке уже $_GET['text'] применяется без фильтра, так вот вопрос, как PHP обрабатывает такой код? То есть если в первой строке уже фильтрируется get запрос то достаточно или с 2 строки php начинает обрабатывать заного?
