Cake-PHP.ru
Форум программистов CakePHP
(на сайт)
Watched Topics
FAQ
Поиск
Пользователи
Группы
Регистрация
Профиль
Войти и проверить личные сообщения
Вход
Список форумов Cake-PHP.ru
->
Общий
Ответить
Имя
Тема
Сообщение
Смайлики
Дополнительные смайлики
Цвет шрифта:
По умолчанию
Тёмно-красный
Красный
Оранжевый
Коричневый
Жёлтый
Зелёный
Оливковый
Голубой
Синий
Тёмно-синий
Индиго
Фиолетовый
Белый
Чёрный
Размер шрифта:
Размер шрифта
Очень маленький
Маленький
Обычный
Большой
Огромный
Закрыть теги
[quote="dmitry84"]хм.. спасибо за ответ, просто слишком много менять пришлось. на тек момент я переписал многие запросы на cake запрсы (через read() /find()) также добавил проверку на приходящие параметры. У меня в проекте очень много ссылок бла/бла/id где id всегда положительное число. для этого паписали компонент вот с такое проверкой: [code]function checkIntUnsigned($var, $withZero = false) { //forse type set if (is_numeric($var)) settype($var, 'int'); else return false; //var_dump(is_int($var)); if (is_int($var) == true) { if ($withZero == false) { if ($var > 0 ) return true; else return false; } else // with_zero = true { if ($var >= 0) { // echo "ok >=0 "; return true; } } } return false; }[/code] Всем спасибо за отзывы и комменты.[/code][/quote]
Настройки
HTML
ВЫКЛЮЧЕН
BBCode
ВКЛЮЧЕН
Смайлики
ВКЛЮЧЕНЫ
Отключить в этом сообщении BBCode
Отключить в этом сообщении смайлики
Если у вас плохое зрение или вы не можете прочесть этот код по какой-то другой причине, то обратитесь за помощью к
Администратору
.
Код подтверждения: *
Введите код в точности так, как вы его видите. Код является регистро-зависимым, а символ нуля имеет косую линию внутри цифры.
Часовой пояс: GMT + 3
Перейти:
Выберите форум
CakePHP Форум
----------------
Общий
Установка и настройка
Творчество
Вопросы и пожелания
Комментарии к главам руководства по CakePHP 1.1
Обзор темы
<table border="0" cellpadding="3" cellspacing="1" width="100%" class="forumline"> <tr> <th class="thCornerL" width="22%" height="26">Автор</th> <th class="thCornerR">Сообщение</th> </tr> <tr> <td width="22%" align="left" valign="top" class="row1"><span class="name"><a name=""></a><b>elsmir1973</b></span></td> <td class="row1" height="28" valign="top"><table width="100%" border="0" cellspacing="0" cellpadding="0"> <tr> <td width="100%"><img src="templates/subSilver/images/icon_minipost.gif" width="12" height="9" alt="Сообщение" title="Сообщение" border="0" /><span class="postdetails">Добавлено: 02 Июн 2010 12:25:22<span class="gen"> </span> Заголовок сообщения: </span></td> </tr> <tr> <td colspan="2"><hr /></td> </tr> <tr> <td colspan="2"><span class="postbody">Не думаю, что можно и защититьсмя и запросы не дергать</span></td> </tr> </table></td> </tr> <tr> <td colspan="2" height="1" class="spaceRow"><img src="templates/subSilver/images/spacer.gif" alt="" width="1" height="1" /></td> </tr> <tr> <td width="22%" align="left" valign="top" class="row2"><span class="name"><a name=""></a><b>Vlad</b></span></td> <td class="row2" height="28" valign="top"><table width="100%" border="0" cellspacing="0" cellpadding="0"> <tr> <td width="100%"><img src="templates/subSilver/images/icon_minipost.gif" width="12" height="9" alt="Сообщение" title="Сообщение" border="0" /><span class="postdetails">Добавлено: 26 Апр 2010 20:14:46<span class="gen"> </span> Заголовок сообщения: </span></td> </tr> <tr> <td colspan="2"><hr /></td> </tr> <tr> <td colspan="2"><span class="postbody">Или: <br /> <br /></span><table width="90%" cellspacing="1" cellpadding="3" border="0" align="center"><tr> <td><span class="genmed"><b>Код:</b></span></td> </tr> <tr> <td class="code"> $id = intval($id);</td> </tr></table><span class="postbody"> <br /> <br /><img src="images/smiles/icon_wink.gif" alt="Wink" border="0" /></span></td> </tr> </table></td> </tr> <tr> <td colspan="2" height="1" class="spaceRow"><img src="templates/subSilver/images/spacer.gif" alt="" width="1" height="1" /></td> </tr> <tr> <td width="22%" align="left" valign="top" class="row1"><span class="name"><a name=""></a><b>nws</b></span></td> <td class="row1" height="28" valign="top"><table width="100%" border="0" cellspacing="0" cellpadding="0"> <tr> <td width="100%"><img src="templates/subSilver/images/icon_minipost.gif" width="12" height="9" alt="Сообщение" title="Сообщение" border="0" /><span class="postdetails">Добавлено: 26 Апр 2010 14:05:59<span class="gen"> </span> Заголовок сообщения: </span></td> </tr> <tr> <td colspan="2"><hr /></td> </tr> <tr> <td colspan="2"><span class="postbody">что за порно ты написал ? )) <br /> <br /></span><table width="90%" cellspacing="1" cellpadding="3" border="0" align="center"><tr> <td><span class="genmed"><b>Код:</b></span></td> </tr> <tr> <td class="code"><?php <br /> <br />function vd($expression) { <br /> var_dump($expression); <br />} <br /> <br />function check($var, $allow_zero = false) { <br /> if ( !is_int($var) ) { <br /> return false; <br /> } else { <br /> if ( $allow_zero ) { <br /> return ( $var >= 0 ) ? true : false; <br /> } else { <br /> return ( $var > 0 ) ? true : false; <br /> } <br /> } <br />} <br />echo '<pre>'; <br />vd( check('a') ); <br />vd( check(1.1) ); <br />vd( check('1') ); <br />vd( check(1) ); <br />vd( check(0) ); <br />vd( check(0, true) ); <br />echo '</pre>'; <br /> <br />?></td> </tr></table><span class="postbody"> <br /> <br />а если CakeWay: <br /></span><table width="90%" cellspacing="1" cellpadding="3" border="0" align="center"><tr> <td><span class="genmed"><b>Код:</b></span></td> </tr> <tr> <td class="code"> <br />$id = Sanitize::paranoid($id);</td> </tr></table><span class="postbody"> <br /> <br />или <br /> <br />http://api.cakephp.org/view_source/sanitize/#line-170</span></td> </tr> </table></td> </tr> <tr> <td colspan="2" height="1" class="spaceRow"><img src="templates/subSilver/images/spacer.gif" alt="" width="1" height="1" /></td> </tr> <tr> <td width="22%" align="left" valign="top" class="row2"><span class="name"><a name=""></a><b>dmitry84</b></span></td> <td class="row2" height="28" valign="top"><table width="100%" border="0" cellspacing="0" cellpadding="0"> <tr> <td width="100%"><img src="templates/subSilver/images/icon_minipost.gif" width="12" height="9" alt="Сообщение" title="Сообщение" border="0" /><span class="postdetails">Добавлено: 19 Апр 2010 18:21:31<span class="gen"> </span> Заголовок сообщения: </span></td> </tr> <tr> <td colspan="2"><hr /></td> </tr> <tr> <td colspan="2"><span class="postbody">хм.. спасибо за ответ, просто слишком много менять пришлось. <br /> <br />на тек момент я переписал многие запросы на cake запрсы (через read() /find()) <br /> <br />также добавил проверку на приходящие параметры. <br />У меня в проекте очень много ссылок бла/бла/id <br /> <br />где id всегда положительное число. <br />для этого паписали компонент вот с такое проверкой: <br /> <br /></span><table width="90%" cellspacing="1" cellpadding="3" border="0" align="center"><tr> <td><span class="genmed"><b>Код:</b></span></td> </tr> <tr> <td class="code">function checkIntUnsigned($var, $withZero = false) <br /> { <br /> //forse type set <br /> if (is_numeric($var)) <br /> settype($var, 'int'); <br /> else <br /> return false; <br /> <br /> //var_dump(is_int($var)); <br /> <br /> if (is_int($var) == true) <br /> { <br /> if ($withZero == false) <br /> { <br /> if ($var > 0 ) <br /> return true; <br /> else <br /> return false; <br /> } <br /> else // with_zero = true <br /> { <br /> if ($var >= 0) <br /> { <br /> // echo "ok >=0 "; <br /> return true; <br /> } <br /> } <br /> } <br /> <br /> return false; <br /> }</td> </tr></table><span class="postbody"> <br /> <br /> <br />Всем спасибо за отзывы и комменты.[/code]</span></td> </tr> </table></td> </tr> <tr> <td colspan="2" height="1" class="spaceRow"><img src="templates/subSilver/images/spacer.gif" alt="" width="1" height="1" /></td> </tr> <tr> <td width="22%" align="left" valign="top" class="row1"><span class="name"><a name=""></a><b>Vlad</b></span></td> <td class="row1" height="28" valign="top"><table width="100%" border="0" cellspacing="0" cellpadding="0"> <tr> <td width="100%"><img src="templates/subSilver/images/icon_minipost.gif" width="12" height="9" alt="Сообщение" title="Сообщение" border="0" /><span class="postdetails">Добавлено: 13 Апр 2010 19:55:49<span class="gen"> </span> Заголовок сообщения: </span></td> </tr> <tr> <td colspan="2"><hr /></td> </tr> <tr> <td colspan="2"><span class="postbody">Батенька - вы или защищайтесь, или не дёргайте <img src="images/smiles/icon_smile.gif" alt="Smile" border="0" /></span></td> </tr> </table></td> </tr> <tr> <td colspan="2" height="1" class="spaceRow"><img src="templates/subSilver/images/spacer.gif" alt="" width="1" height="1" /></td> </tr> <tr> <td width="22%" align="left" valign="top" class="row2"><span class="name"><a name=""></a><b>dmitry84</b></span></td> <td class="row2" height="28" valign="top"><table width="100%" border="0" cellspacing="0" cellpadding="0"> <tr> <td width="100%"><img src="templates/subSilver/images/icon_minipost.gif" width="12" height="9" alt="Сообщение" title="Сообщение" border="0" /><span class="postdetails">Добавлено: 12 Апр 2010 19:00:48<span class="gen"> </span> Заголовок сообщения: Защита против SQL injection</span></td> </tr> <tr> <td colspan="2"><hr /></td> </tr> <tr> <td colspan="2"><span class="postbody">здравствуйте! <br />Насколько я понял из документации Cake обрабатывает все $_POST и $_GET запросы, и можно смело подставлять параметры в find() и save(). <br /> <br />Но что делать если необходимо использовать query(). <br /> Например <br />$this->MyController->query("UPDATE photos SET profile_pic='1', status = 'public' WHERE id=".$id." AND profile_id=".$this->Session->read('Profile.id')); <br /> <br />$id в данном случае берется из $this->data... <br /> <br />Будет ди такой запрос устойчив к SQL Injection? <br />И как защитится от такого глобально, а не дергать mysql_real_escape_string или sanitize->clean() перед каждым запросом.</span></td> </tr> </table></td> </tr> <tr> <td colspan="2" height="1" class="spaceRow"><img src="templates/subSilver/images/spacer.gif" alt="" width="1" height="1" /></td> </tr> </table>
Powered by phpBB © 2001, 2005 phpBB Group
Русская поддержка phpBB
Если ничего интересного не нашли, можно рекламу почитать, а рекламируется у нас сегодня «».
Watched Topics
FAQ
Поиск
Пользователи
Группы
Регистрация
Профиль
Войти и проверить личные сообщения
Вход