Comments on: Validacija i filtriranje inputa (Sigurnost PHP aplikacija – 3.deo)

By: Zoran

Zoran — Sun, 11 Jul 2010 11:56:40 +0000

Zdravo!

Dobar članak, ali bih predložio da uz proveru ID-a prilikom preuzimanja sa GET-a uradiš još i ovo:

$provera = mysql_query(“select * from IME TABELE where id=’$id’”);

if (($id == “”)) {
Header(“Location: ./”);
}
else if (mysql_num_rows($provera) == 0) {
Header(“Location: ./”);
}

Na ovajnačin si siguran da neko ne može upisati nepostojeću vrednost ID-a …

Inače koristim cleanQuery funkciju kojom “čistim” preuzeto sa geta vrlo jednostavno:

$id = cleanQuery($_GET['id']);

Pozdrav!

By: Aleksandar Babić

Aleksandar Babić — Wed, 13 Jan 2010 13:19:32 +0000

@urkes, hvala na komentaru i ukazivanju na grešku

@Đeka, baci link čim bude online!

By: Đeka

Đeka — Wed, 13 Jan 2010 03:20:45 +0000

Mislim da će ti biti interesantno da znaš da ću vrlo uskoro krenuti sa svojim sajtom koji će sadržati video tutorijale… Pre svega Java, naravno, ali biće svega…

By: urkes

urkes — Wed, 13 Jan 2010 00:28:35 +0000

Pozdrav Sale,

Bas mi se dopada ovo sto si krenuo da radis. Samo tako nastavi!
Sve pohvale!

PS. Imas malu gresku u kodu, kada sprecavas nepotreban upit
13 if($id >= 0) {
14 // prikaži 404
15 }
Valjda bi trebalo $id <= 0.

Pozdrav!

By: Aleksandar Babić

Aleksandar Babić — Tue, 12 Jan 2010 21:24:59 +0000

Nema na čemu, drago mi je da ti se sviđa. Biće još sličnih tekstova, a sledeći je o SQL injectionu. Biće spremljen za par dana…

Pozdrav!

By: Đeka

Đeka — Mon, 11 Jan 2010 23:46:56 +0000

Sale, vrlo sam prijatno iznenađen ovim tekstom. Naime, pošto sam PHP krenuo da radim pre nekih dve tri nedelje, upravo je sigurnost od napada iskusnih ljudi postala problem, s obzirom da ću prvi svoj CMS sajt izbaciti u roku od možda nedelju dana…

Kada očekujem nastavak? Totalno nisam ni krenuo da rešavam problem SQL injection-a… Mada sam sam svoje sktipte zloupotrebio više puta, tako da realno imam potrebu time da se bavim…

Hvala na fantastičnom članku!