|
Medlem
|
|
Reg.datum: May 2009
Inlägg: 106
|
|
|
Medlem
Reg.datum: May 2009
Inlägg: 106
|
Är det slarvigt kodat så är det antagligen det överallt, dvs. alla filer.
Antingen anlitar du någon för att gå igenom åtminstone alla databasfrågor och se till att de inte är öppna för sql-injections eller så lär du dig lite php själv och fixar det på egen hand.
Sök på mysql_query i alla filer och kolla igenom så att de inte är som ditt förra exempel, att de bara villkorslöst tar variabler från länken och trycker in i databsfrågan. mysql_real_escape_string() är som sagt en ganska bra universallösning. Jag tycker att om man förväntar sig ett numeriskt id eller liknande så kan man köra intval() på indatan istället.
Nu vet inte jag vad dina medlemmar kan göra på sidan, men kan de skriva meddelanden eller inlägg eller fylla i saker till en profil eller liknande bör du också kolla över säkerheten på det. Du vill inte att dina medlemmar ska kunna skriva skadlig kod som drabbar andra som läser vad de skrivit. Där är htmlentities() en ganska bra funktion att köra, eller strip_tags() om du inte tycker att dina medlemmar behöver skriva html alls.
|