Gardianul.ro, un alt site uşor
Detalii aici.
Gardianul.ro, un alt site uşor - 8 comentarii
Grădinăresc şi la...
Ultimele articole
- » Tot ce trebuie să ştiţi despre mangleala lu’ Ponta pentru a-l salva pe Năstase
- » Alo, Poliţia Română? Aş vrea să reclam okazii.ro pentru imbecilism şi încălcarea legii!
- » Noaptea MaiNeagră - Soldatul norocului
- » Anca Boagiu n-are nici o ruşine
- » Autostrada Bucureşti-Ploieşti nu are acoperiş Lindab!
Blogroll
GAR-DI-A-NUL!
asa gardian mai zic si eu. bai gardiene, vezi ca iti atarna cheile si portofelul din boznare.
Se poate folosi functia mysql_real_escape_string pentru a nu permite ghilimeaua din post
sau daca vreti o varianta mai complexa: http://php.net/mysql_real_escape_string
wordpress-ul si alte cms-uri au deja protectie pt sql inject
mysql_real_escape_string e o solutie foarte buna atunci cand faci un soft / script care va fi instlat pe un numar de servere cu diverse configuratii. Dar cand faci ceva care va rula pe un server dedicat, cum a fost cazul sitului gardianul, iar serverul respectiv are magic quotes on, ai doua posibilitati: ori pui mysql_real_escape_string(stripslashes(’valori’)) ceea ce va anula efectul magic quotes-urilor si le va adauga din nou, sau lasi valorile asa cum sunt.
Initial, serverul avea magic_quotes on, asa ca am decis sa il lasam sa isi faca treaba fara sa-i mai adaugam inca 2 procese. Dar serverul a fost schimbat iar noua configuratie avea acest modul dezactivat.
Respecte pt fairplay-ul aratat de cei de la hackersblog.org care ne-au atentionat cu cateva zile inainte de a face publica informatia, dandu-ne sansa sa eliminam bresa de securitate inainte de a fi atacati de persoane rau intentionate.
@Robintel din cate stiu nici nu ai cum sa ai cont
Florin, un simplu mysql_real_escpae_string nu e intotdeauna destul
get_magic_quotes_gpc() nu este in lista functiilor pe degeaba…
@Shocker: nici nu am zis ca e destul – e un inceput si exista si varianta completa si mai complexa.