Filtrarea datelor de intrare
Prima modalitate de contracarare a injectiei SQL are un principiu simplu si anume acela de nu permite utilizatorului sa modifice sintaxa interogarii SQL. In acest scop informatiile primite de la utilizator trebuie filtrate/prelucrate.
Pentru informatia de intrare de tip sir, acest lucru se realizeaza la fel ca si in cazul ghilimelelor magice prin functia addslashes() sau functii specifice ale bazei de date my_sql_real_escape_string (recomandat).
Daca aplicatia asteapta un parametru valoare numerica pot fi folosite functiile is_numeric() pentru testare, sau poate fi schimbat tipul prin settype().
La setul de caractere trebuie adaugate si caracterele folosite ca wildcard in interogarile SQL, atunci cand se utilizeaza clauza LIKE si anume '%' si '_'.
Pentru informatia de intrare de tip sir, acest lucru se realizeaza la fel ca si in cazul ghilimelelor magice prin functia addslashes() sau functii specifice ale bazei de date my_sql_real_escape_string (recomandat).
Daca aplicatia asteapta un parametru valoare numerica pot fi folosite functiile is_numeric() pentru testare, sau poate fi schimbat tipul prin settype().
La setul de caractere trebuie adaugate si caracterele folosite ca wildcard in interogarile SQL, atunci cand se utilizeaza clauza LIKE si anume '%' si '_'.
posted by Lidia P. at 2:40 PM
0 Comments:
Post a Comment
<< Home