Salam, PHP-da SQL Injection-dan qorunmaq üçün mysqli prepare metodundan istifadə edirəm amma internetdə bunun hacklana biləcəyini görmüşdüm. Sizcə prepare metodu güvənlidir?
XSS – xss dan qorunmaq üçün isə php-da bir neçə yol var. strip_tags, htmlentitles, htmlspecialchars, filter_input_array. Bunların bir-birindən fərqini az çox bilirəm. Bəs XSS-dan qorunmaq üçün hansını istifadə eləməliyəm??
SQL Injection və XSS
Üzvlər üçün giriş
Software Developer - 616 xal
E. Hacı - 610 xal
Onar Alili - 526 xal
Dilsuz - 448 xal
Cabbarov Sübhan - 434 xal
Maqa - 346 xal
Ruslan Butdayev - 328 xal
Namiq Bəndəli - 297 xal
U.Tarlan - 244 xal
Meherremoff - 234 xal
Sistemə daxil olmuş 23348 sualdan 92%-dən çoxu cavablandırılmışdır.
E-Haci.net istehsalı. © 2010-2026
Verilmiş cavablar və yazılan şərhlər (4 cavab var)
1
Hacklana biləcəyini deyən mənbəni göstərin lütfən.
mysqli prepare tam güvənlidir.
prepare istifadə etmədikdə isə hə öz yerlərinə uyğun olaraq: addslashes, intval(), mysql_real_escape_string və.s. istifadə etmək olar.
Ümumiyyətlə injection baxır nə mənada deyilir. Birbaşa bazanı hack etmək üçün olan injectionu təkcə addslashes() və ya mysql_real_escape_string qarşısın alır. Amma digər məsələ də var axı. Sonra bu data hardasa istifadə olunacaq axı. Deməli ya bazaya girərkən bütün tədbirlər görülməlidir, ya da bazaya sadəcə escape ilə buraxıb bazadan oxuyarkən htmlentities filan kimi tədbirlər görülməlidir.
0
PDO ilə prepare linki: http://stackoverflow.com/questions/134099/are-pdo-prepared-statements-sufficient-to-prevent-sql-injection
1
Aha oradakı cavabda aydın izah edilir. Ki giriş zamanı injectionun qarşısını necə alır, amma 2-ci dərəcəli injection hallarında(oxunma zamanı) hansı problemlər çıxa bilər və.s.
orada verilən əks nümunələr isə utf8 halında işləmir, hansı ki biz daim utf-8 ilə işləyirik onsuz da(ən azından öz milli hərflərimiz digər yayğın character setlərdə yoxdur deyə)
0
Kodlarınızı PDO ilə yazın.
Sual verin
Cavab verin