danutz0501

Ar fi bine sa faca ce zice dar nu prea cred, asa zisa baza de date cu sheluri e un simplu fisier nici macar un sqlite(cu toate ca iau pus extensia .db), in care pastreaza monstre din sheluri base 64 encode.Preia fisier cu file_get_contents, verifica cu ce e in bza de date si 2-3 preg match ca sa detecteze base64 encode eval exec etc. Downlod de la sursa acum se lauda cu o baza de date de 462 semnaturi

Eu ma folosesc de pdo, setez default charset utf-8, emulare interogari parametrizate off, type casting la bindValue etc. Am intrebat pt ca am gasit niste articole, discutii cum vreti sa ai ziceti pe stackoverflow(sper sa nu fie considerata reclama) in care se tot spunea ca pdo si interogarile parametrizate nu ar fi chiar asa safe. Oricum ms pt raspunsuri.

Salut, voi cum v-ati apara un web site impotriva rfi , lfi si null byte. Vestitul switch sau daca aveti paginile intr-un director folositi scandir si in_array()? Si pdo (interogari parametrizate placeholdere etc) ma scapa de sql injection?

Salut am si eu o intrebare. Cum pot proteja sesiunile si sa ma feresc de csrf /** * setare sesiuni-folosire cookie,httponly,no get sau post */ ini_set('session.use_trans_sid', 0); ini_set('session.cookie_secure',1); ini_set('session.cookie_httponly',1); ini_set('session.use_only_cookies',1); /** * pornire sesiuni * verificare daca sant setate server side */ session_start(); if(!isset($_SESSION['SERVER_GENERATED_SID'])) { session_destroy(); } session_regenerate_id( ); $_SESSION['SERVER_GENERATED_SID']=true; Momentan folosesc setarile de mai sus, si pt csrf un md5(uniqueid()).E bine ce fac, e egal cu zero adica zero protectie , e loc de mai bine?