В интернете я нашёл только один способ взлома Mysql базы данных - sql-инъекция. Однако там же я нашёл и решение, как не допустить попадание нежелательных символов в mysql_query
$query = sprintf("SELECT * FROM sometable WHERE somevar='%s'",
mysql_real_escape_string($var));
mysql_query($query);
И тем не менее, многие люди настойчиво рекомендуют переходить на другие расширения по работе с Mysql (PDO, например), считая оригинальное API априори небезопасным и недостаточно функциональным. На последнее я не жалуюсь, но безопасность важна для меня.
И вот вот вопрос: полностью ли меня обезопасил от хакерских атак код, приведённый выше? Если нет, то возможно ли мне обезопаситься полностью, не переходя на другие расширения?
Ответ
Если рассматривать ситуацию только в контексте "безопасность запросов от хакерских атак", то ответ: "Да, код, приведённый выше, полностью обезопасил от хакерских атак".
Однако при разработке остальные моменты тоже нужно учитывать
Комментариев нет:
Отправить комментарий