Задать вопрос
@lemonlimelike
php

Как залатать дырки?

1. 
$num = $_GET['num'];  //

$res = mysqli_query($connection, "SELECT * FROM `videos` ORDER BY `id` DESC LIMIT $num, 20");

Здесь можно осуществить sql-injection, как ее исправить?

2. 
mysqli_query($connection,"INSERT INTO `comment` (`name`,`text_comment`,`date`,`page_id`) VALUES('".$_POST['name']."','".$_POST['text']."', NOW(), '".$vidos['id']."')"); //


И тут вроде тоже можно, где методы идут, а как их исправить?
  • Вопрос задан
  • 153 просмотра
Комментировать
Подписаться 1 Оценить Комментировать
Решения вопроса 1
gobananas
@gobananas
finishhim.ru
Использовать PDO (с плейсхолдерами) а не mysqli самый правильный путь.
С цифрами на крайняк можно $num = intval($_GET['num']);
Со строками сложнее, просто погуглите защиту от sql-инъекций там ряд функций типа php.net/manual/en/function.strip-tags.php
Ответ написан
Комментировать
Комментировать
Пригласить эксперта
Ответы на вопрос 2
Rsa97
@Rsa97
Для правильного вопроса надо знать половину ответа
Использовать подготовленные выражения с плейсхолдерами.
Ответ написан
Комментировать
Комментировать
DjPhoeniX
@DjPhoeniX
Hardcore iOS & ESP developer & DJ
Во-первых подстановка (PDO, prepared requests)
Во-вторых mysqli_escape и компания
Ответ написан
Комментировать
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы
Вакансии с Хабр Карьеры
PHP Developer
YCLIENTS Москва
от 200 000 до 350 000 ₽
PHP разработчик
Ведисофт Екатеринбург
от 25 000 ₽
Midlle PHP developer (backend)
ИТЦ Аусферр Магнитогорск
от 100 000 до 160 000 ₽
Ещё вакансии
Заказы с Хабр Фриланса
Перенести сайт на Друпал на новый хостинг
25 апр. 2024, в 15:51
3000 руб./за проект
Разработка игры нарды
25 апр. 2024, в 15:31
70000 руб./за проект
Верстка мобильной версии на SvelteKit [FIGMA]
25 апр. 2024, в 15:26
15000 руб./за проект
Ещё заказы