У меня есть сценарий, который использует переменную $ _POST для хранения в базе данных.как предотвратить взломать метод POST
Есть некоторые пользователи, которые пытаются обмануть систему, создав свой собственный метод почтовой формы или используя curl для отправки переменной post и значения на сервер.
Как предотвратить эту атаку?
Спасибо
Предупреждение невозможно (POST является безопасным мифом упрощения). Вы должны проверить входящие данные с различными методами:
$_POST->text->in_array("field", "abc,def,xyz"), напримерТам нет никакого способа, чтобы остановить людей, делающих произвольные запросы HTTP.
Как вы защищаете себя, зависит от содержания запроса и почему он представляет собой атаку.
Эта атака имеет имя «SQL-инъекция». Это не слишком сложно защитить от этого. Просто используйте magic_quotes, если ваше значение является строкой и использует фильтр, ведьма пропускает номера onlu, если ваше значение является числом.
Магические котировки недостаточны для защиты от SQL-инъекций. Вопрос не дает достаточной информации, чтобы сделать вывод, что атака - это SQL Injection, это может быть XSS, «лежащий вокруг моего счета», «Заполнение моего форума спамом» или что-то еще. – Quentin
Вы можете убедиться, что POST производится из вашей формы с помощью Capcha вида защиты или Вы можете дезинфицировать каждую переменную $ _POST и отвергают целые данные POST, если он не удовлетворяет критериям.
+1. И дополнительно ресурс о обработке формы: http://phpsec.org/projects/guide/2.html – singles
@singles: Это отличная ссылка и более авторитетный ответ. – mario