Список чисел в форме

ramses21 · 18 Июл 2011

Я на сервере обычно так проверяю:

// для обработки данных
function def($var, $sql=true) {
$var= htmlspecialchars($var, ENT_QUOTES, "windows-1251");
// мнемонизировали строку.
if(get_magic_quotes_gpc ())
{
$var= stripslashes ($var);
// убрали лишнее экранирование.
}
if ($sql)
{
$var= mysql_real_escape_string ($var);
// если нужен MySQL-запрос, то делаем соответствующую очистку.
}
$var= strip_tags($var);
//убираем теги.
return $var;
}

Эту функцию добавил в конфигурационный файл, который подгружаю на каждой странице, а данные проверяю вот так

$reff = def($_GET['r']);

Циферки можно вот так проверять

settype($id,'int')

Если в $id хацкер всунет строку, то сеттайп ее превратит в 0 (нуль).

Если например забираешь гет, то негодяй может пихнуть массив

script.php?val[]=work

Заведомо конечно. Функция при этом скажет, что так делать нельзя и покажет пути к файлам. Что бы быть незамеченным:

$val = strval($_GET['val']);

Ну вот некоторые варианты защиты. А вообще всегда надо првоерять тип данных и тогда скрипт будет менее уязвим.
Сам ленюсь это делать

saen · 19 Июл 2011

ramses21 написал(а):
$val = strval($_GET['val']);

И какую защиту дает преобразование строки в строку?

Mark666 · 19 Июл 2011

Есть еще способ, будет не лишним.
Проверяем символы, которые ввел пользователь в адресной строке:

Код:

if ( !preg_match( "|^[a-z 0-9~%.:_\-\/]+$|i", $_SERVER['REQUEST_URI'] ))
{
print "Error!";
}

zavu · 19 Июл 2011

И куда этот код вставить? После каждого выражения, или только один раз где иссеты?

Mark666 · 20 Июл 2011

В вашем случае будет достаточно такого:

Код:

if (isset($_POST['number'])) {$number = $_POST['number'];}
$number = intval($number);
if ($number > 0 && $number <= 150){
   // Выполняем то что нужно
...
} else {
   // Ошибка  
}

То, что я отписал в прошлом посте, можно вставить в самое начало скрипта, и только один раз. Это дополнительная проверка, которая требуется для проверки $_GET параметров.

Если у вас PHP версии > 5.2, то рекомендую ознакомится со встроенной функцией

Для просмотра скрытого содержимого вы должны войти или зарегистрироваться.

ramses21 · 24 Июл 2011

Уважаемый saen, если ты уверен, что $val = $_GET['val']; это строка, то в твоем двиге огромнейшая дырень. Покажи мне его и я достану все твои пароли и таблицы из бд.
Поэтому не стоит ржать, если нет знаний в данной области (имеется ввиду преобразование "строки в строку")
Перечитай мой пост предыдущий и может быть поймешь о чем.
Надеюсь я больше не буду отвлекаться по пустякам.

Список чисел в форме

ramses21

Постоялец

saen

Постоялец

Mark666

Писатель

zavu

Старатель

Mark666

Писатель

ramses21

Постоялец