Имя

Сообщение


05.10.2011   Дмитрий

Параметр $_POST['id'] вставляется в SQL запросы без экранирования, это прямой путь к sql инъекции.


05.10.2011   Александр

$_POST['id'] вставляется в админке в запароленной директории. Если Вы сами будете себе инъекции запускать, то нет вопросов. На общий доступ выложен файл index.php и там есть запрос с $_GET['id'], можете его экранировать, если Ваш сервер не делает это самостоятельно. Из всех предложенных решений мне больше всего симпатично преобразование $_GET['id'] в целое, т.е. intval($_GET['id'])




Вопрос был задан на этой странице. Но если Вам это не интересно, могу предложить Вам почитать про разместить сайт: какой выбрать виртуальный хостинг сайтов mysql

 
  (c) Janda.ru