• Najnowsze pytania
  • Bez odpowiedzi
  • Zadaj pytanie
  • Kategorie
  • Tagi
  • Zdobyte punkty
  • Ekipa ninja
  • IRC
  • FAQ
  • Regulamin
  • Książki warte uwagi
Zapytaj

walidacja a zapytania parametryzowane

Object Storage Arubacloud
0 głosów
221 wizyt
pytanie zadane 19 października 2019 w PHP przez auradin Użytkownik (560 p.)

Witam. Głowie się nad tematem dotyczącym wydajności i bezpieczeństwa strony web, pod kątem ataku xss i sql injection. Nie wchodząc w cały kod podam najważniejsze linie, które odgrywają najważniejszą rolę. Mianowicie mamy walidację na tym przykładzie zwykłych liczb. Która opcja sprawdza się lepiej? A może macie inne spostrzeżenia i rozwiązania. Opcji drugiej się uczę więc mogą być jakieś błędy ale tu chodzi o samą mechanikę kodu.

Opcja 1.

if ((isset($_POST["select_notmess"]) and ($select_notmess = $_POST["select_notmess"])) == true){
		$select_notmess = $_POST['select_notmess'];
		$select_notmess = strip_tags($select_notmess);
		$select_notmess = htmlentities($select_notmess);
		$select_notmess = str_replace(' ', '', $select_notmess);
	        $select_notmess = trim($select_notmess);
		$select_notmess_ok = $select_notmess;
		if (is_numeric($select_notmess_ok) == true){
			if (($select_notmess_ok > '0') and ($select_notmess_ok < '3') == true){
					queryMysql("UPDATE $baza11 SET for_mes='$select_notmes_ok' WHERE id='$id'");
			if (mysqli_affected_rows($connection) == 1){
				$json['u_notmess_sukces'] = true;
					}else{
					$json['u_notmess_serv'] = true;
					}
		$connection->close();
				}else{
			$json['u_notmess_false'] = true;
				}
		}else{
		$json['u_notmess_false'] = true;
			}
		}

Opcja 2

if ((isset($_POST["select_notmess"]) and ($select_notmess = $_POST["select_notmess"])) == true){
	$select_notmess = $_POST['select_notmess'];
	$select_notmess_ok = $select_notmess; 
	$query = "UPDATE $baza11 SET ";
	$query .= "for_mes=? WHERE id=? ";
	if (!$stmt = $this->dbo->prepare($query)){
		$json['u_notmess_false'] = true;
	}
	if (!$stmt->bind_param("ii", $select_notmess_ok, $id) || !$stmt->execute() || !$stmt->store_result()){
		$json['u_notmess_false'] = true;
	}
	if ($stmt->mysqli_affected_rows($connection) == 1){
		$stmt->bind_result($select_notmess_ok, $id);
		$json['u_notmess_sukces'] = true;
	}else{
		$json['u_notmess_serv'] = true;
	}
}

 

 komentarz 21 października 2019 przez grollajt Bywalec (2,860 p.)
Ja przy pobieraniu danych wykorzystuje filtry które w w większości powinny załatwić sprawę. Np. https://www.php.net/manual/en/function.filter-input.php, https://www.php.net/manual/en/filter.filters.sanitize.php

Zaloguj lub zarejestruj się, aby odpowiedzieć na to pytanie.

Podobne pytania

0 głosów
1 odpowiedź 147 wizyt
Łączenie swojego frameworka z ajaxem - pytanie o metodę (wydajność)
pytanie zadane 22 marca 2018 w JavaScript przez Ardzej16 Początkujący (450 p.)
0 głosów
0 odpowiedzi 535 wizyt
Wysłanie zapytania sql w tle, bez przeładowania strony
pytanie zadane 7 października 2021 w JavaScript przez Piotr Popławski Użytkownik (610 p.)
0 głosów
1 odpowiedź 176 wizyt
Wydajność odnośnie PHP i MySQL.
pytanie zadane 28 sierpnia 2015 w Nasze projekty przez Prime_Bull Obywatel (1,820 p.)

92,573 zapytań

141,423 odpowiedzi

319,648 komentarzy

61,959 pasjonatów

Kategorie pytań
Programowanie
Sprzęt komputerowy
Systemy operacyjne, programy
Sieci komputerowe
Hostingi, domeny, usługi
Urządzenia mobilne
Bezpieczeństwo, hacking
Rozwój zawodowy, nauka, praca
Egzaminy zawodowe
Matematyka, fizyka, logika
Grafika i multimedia
Ogłoszenia, zlecenia
Nasze projekty
Nasze poradniki
Sprawy forum
Offtop
Programowanie
C i C++ HTML i CSS JavaScript PHP SQL, bazy danych C# Java SPOJ Python Ruby Assembler Visual Basic Android, Swift, Symbian OpenGL, Unity Inne języki Algorytmy Systemy CMS Mikrokontrolery

Motyw:

Akcja Pajacyk

Pajacyk od wielu lat dożywia dzieci. Pomóż klikając w zielony brzuszek na stronie. Dziękujemy! ♡

Oto polecana książka warta uwagi.
Pełną listę książek znajdziesz tutaj.

Akademia Sekuraka

Kolejna edycja największej imprezy hakerskiej w Polsce, czyli Mega Sekurak Hacking Party odbędzie się już 20 maja 2024r. Z tej okazji mamy dla Was kod: pasjamshp - jeżeli wpiszecie go w koszyku, to wówczas otrzymacie 40% zniżki na bilet w wersji standard!

Więcej informacji na temat imprezy znajdziecie tutaj. Dziękujemy ekipie Sekuraka za taką fajną zniżkę dla wszystkich Pasjonatów!

Akademia Sekuraka

Niedawno wystartował dodruk tej świetnej, rozchwytywanej książki (około 940 stron). Mamy dla Was kod: pasja (wpiszcie go w koszyku), dzięki któremu otrzymujemy 10% zniżki - dziękujemy zaprzyjaźnionej ekipie Sekuraka za taki bonus dla Pasjonatów! Książka to pierwszy tom z serii o ITsec, który łagodnie wprowadzi w świat bezpieczeństwa IT każdą osobę - warto, polecamy!

O działaniu forum

Pasja informatyki w internecie

Polecane miejsca w sieci

Snow Theme by Q2A Market
Powered by Question2Answer
...