Просмотрите файлик

Ребята сейчас вот пишу немного по другому (не так как раньше, сменил код) для себя же, просмотрите файлик вот чата в игрушку написал.

Сам файл там где значение int
использую эту фильтрацию

//-----Фильтрируем запросы GET-----//
function int
($var)
{
return abs
(intval
($var));
}


Там где hack использую это

//-----Фильтрируем запросы POST-----//
function hack($msg){
$msg = trim($msg);
$msg = htmlspecialchars($msg);
$msg = mysql_escape_string($msg);
return $msg;
}

Дыры? уязвимости? что скажите по коду, критику принимаю.
Спасибо.

Все не так:
1) $_GET параметр не нужно преобразовывать, просто экранируй недопустимые символы при выборке из БД, а то так выходит, что, если $_GET = '1755;-++'; ты получишь 1755 и запись может быть найдена, а это как-то тупо…
2. Тоже самое и с POST, при записи в БД нужно только экранировать недопустимые символы, всё, больше ничего не нужно, а потом уже при выводе преобразовывать html сущности (чтоб не получить xss)

Изм. 1 раз. / Посл. изм.

abler98 22.68

(22 янв 2015, 18:42)

abler98, попрошу обосновать свой ответ, а просто ляпнуть и я могу.

Light, отредактировал

abler98, понял скажи мне русским языком дыры в файле который я скинул есть?))то?) Именно (Дыра уязвимости)а то что ты указал я доработаю)

Light, так-то нет, но лучше не делать так, как ты делаешь. Я уже тебе написал об этом )

abler98, я понял тебя, но все же если будет так как есть это как-то повлияет на скрипт, или может замедлит работу?

Что по коду скажешь? говно?или пойдет?

Изм. 1 раз. / Посл. изм.

Light [мошенник] 0.25

(22 янв 2015, 18:49)

Light, ничего плохого он не сделает. И кода слишком мало, чтоб его оценить

Вот пожалуйста файл почты большой файл но пока не дописал еще полностью, что по данному коду скажешь, баги дыры уязвимости.

Прикрепленные файлы:
PROFIWM_COM_7483_1085805_privat.rar (2.77 кб)

Light, у меня и так дел полно ( А такой код разобрать нелегко

Изм. 1 раз. / Посл. изм.

abler98 22.68

(22 янв 2015, 19:25)