У меня проблемы с группой хакеров. они несколько раз взламывали мой клиентский сайт, и мой клиент еще больше разозлился:( мой клиент потерял свою базу данных (у которой сотни записей), и ей пришлось вводить все:(
теперь я следую еще нескольким интродукциям;
- права доступа к файлам
- изменена информация о регистрации ftp и хоста
- удалены все удаленные запросы mysql
теперь работает над проблемой SQL Injection. Я добавил mysql_real_escape_string к параметрам входа в панель администратора. Итак, где еще я должен использовать эту mysql_real_escape_string? У меня мало форм электронной почты на сайте, я не думаю, что мне нужно добавить туда...
У меня есть index.php как основная. Должен ли я что-нибудь сделать для этой страницы, чтобы предотвратить любую инъекцию sql-инъекций через url, например index.php?somesql=?
Пожалуйста, посоветуйте мне! Я так ценю!!!: (
например:
У меня такой код:
public function showDetails($id) {
// SQL Jobs Details
$this->sql_job = "SELECT * FROM jobs WHERE id=".mysql_real_escape_string($id);
$this->rst_job = mysql_query($this->sql_job);
$this->row_all = mysql_fetch_assoc($this->rst_job);
// SQL State
$this->sql_state = "SELECT title FROM state WHERE id=" . $this->row_all[$this->tbl_jobs['f4']];
$this->rst_state = mysql_query($this->sql_state);
$this->row_state = mysql_fetch_assoc($this->rst_state);
........
достаточно ли использовать mysql_real_escape_string для $id. не для $this- > row_all [$ this- > tbl_jobs ['f4']]
