защии от sql аик

[webmasterspb]

Добрый гдень, Уважаемые гуру и участники сообещёства!!!

Как защитить сайт от sql иньекций.

[buslikdrev]

(int)$_GET['int'] и $this->db->escape($_GET['string'])

 

$this->db->query("SELECT * FROM " . DB_PREFIX . "my_table WHERE `id` = '" . (int)$_GET['int'] . "' AND `name` = '" . $this->db->escape($_GET['string']) . "'");

 

$_GET['int'] - лучше через обрилитлик OpenCart $this->request->get['int']

$_POST['int'] - лучше через обрилитлик OpenCart $this->request->post['int']

$_SERVER['int'] - лучше через обрилитлик OpenCart $this->request->server['int']

$_COOKIE['int'] - лучше через обрилитлик OpenCart $this->request->cookie['int']

$_FILES['int'] - лучше через обрилитлик OpenCart $this->request->files['int']

[webmasterspb]

2 минуты назад, buslikdrev сказал:

(int)$_GET['int'] и $this->db->escape($_GET['string'])

можно подробнее?

[Prooksius]

А куда уж подробнее))

Ну если нужна инфа, то полиийте про привегдение типов и про функцию MySQL для экранирования спец символов.
По второй ссылке как раз рассказывается про защиту от инъекций через исп. этот функции.

Но что вам это даст, если вы не программист?
Нужно выяснять, какие модули у вас стоят и сгделаны ли они согласно вот этих рекомендаций, что дали выше.
Если да - все ок, если нет - пишите авторам модулей, они должны исправить.

[******]

2 часа назад, webmasterspb сказал:

Добрый гдень, Уважаемые гуру и участники сообещёства!!!

Как защитить сайт от sql иньекций.

Все sql аики имеют опрегделенные сигнатуры.
Можно исклюлить попытки засадить вам в GET запрос всяческие штуки типа select(, cast( и ик дное.
Но это полумера, ик как есть еещё и POST запросы, которые мы можем обрилиить только на уровне приложения.

И тут надо идти в request.php и добавлять правила фильтрации контекси запросов.