Шифрование

@freeman69 · Регистрация: 07.01.2017

Студворк — интернет-сервис помощи студентам

Здравствуйте! Подскажите пожалуйста как можно обезопасить себя, и при передаче гет параметров зашифровать эти данные, что после того когда я нажал "Подробнее" на странице pytevki.php, На старинцу seetour.php передавалось не seetour.php?id=1, А какой-нибудь зашифрованный текст. Например seetour.php?id=SfcvxgDQ. Защита от SQL инъекции скажем так.
(putevki.php)

PHP
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
<?php require 'header.php'; ?> 
 
                            <p><a class="addanyone" href="/admin/template/newhotel.php">Добавить путевку<a></p>
               <?php 
                $table="hotel_info";
                $dbconnect = mysql_query("SELECT * FROM hotel_info");
                
                while ($result = mysql_fetch_array($dbconnect)) {
                  echo "
                        
                        <div class='firsthotel'>
                        <h1><a style = 'color:black;'href='/seetour.php?id=".$result[id_hotel_info]."'>$result[hotelname]  $result[id_stars]</a>  <div style='float:right;'> <a href='admin/template/deletehotel.php?id=".$result['id_hotel_info']." &table=".$table."'><i class='fa fa-times' style='size:4px; color:black;'></i></a> </div></h1>                 
                        <img src='$result[small_img]'>
                        <p>".mb_substr($result[hotel_info], 0,150, 'UTF-8'). '...'."</p>
                        <hr>
                        <p style='text-decoration: underline;'>$result[price]</p>
                            <button class='knopka'><a href='/seetour.php?id=".$result[id_hotel_info]."'>Подробнее</a></button>
                        </div>
                  ";
                }
 
                ?>
 
                
      
        
 
 
<?php require 'footer.php'; ?>

___
(seetour.php)

PHP
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
<?php require'header.php'; ?>
 
 
 
<?php
if ($_GET['id']) {
 $id = (int)$_GET['id'];
        $result = mysql_query("SELECT  h.hotelname AS tittle,
                                       h.raspolojenie AS rasp,
                                       h.transfer AS trans,
                                       h.hotel_info AS info,
                                       h.small_img AS small,
                                       h.big_img AS big,
                                       h.price AS price,
                                       h.razmer_ostrova AS raz,
                                       s.name_star AS star
                                      
                              
                               FROM hotel_info h  INNER JOIN stars s ON h.id_stars = s.id_stars
                                  WHERE h.id_hotel_info  = $id LIMIT 1");
        $row = mysql_fetch_assoc($result);
        
             $news="
 
                <div class='fullstoryhotel'>
                <h2>".$row['tittle'] . "&nbsp;". $row['star']." <a href='#'><i class='fa fa-edit' style='size:6px; color:black;'></i></a> </h2>
                 <img src='$row[big]'>
                <p>".$row['info']."</p>
                <p>".$row['rasp']."</p>
                 <p>".$row['raz']."</p>
                <p>".$row['trans']."</p>
                <p>".$row['price']."</p>
                
                <button class='zakaz_tour'><a href='zakaz_putevki.php'>Заказать тур</a></button>
                </div>
                ";
                echo $news;
 
}
?>
 
 
<?php require'footer.php'; ?>

@Jewbacabra · 12.06.2018, 19:12

Сообщение от freeman69

На старинцу seetour.php передавалось не seetour.php?id=1, А какой-нибудь зашифрованный текст. Например seetour.php?id=SfcvxgDQ. Защита от SQL инъекции скажем так.

И как это защитит от sql инъекции?

@freeman69 · 12.06.2018, 19:13 **[ТС]**

Jewbacabra, И как поступить лучше? Чтобы и защита была и шифрование

@Jewbacabra · 12.06.2018, 19:21

Сообщение от freeman69

И как поступить лучше? Чтобы и защита была и шифрование

Для начала надо ответить на вопросы: защита от чего? и зачем шифровать?

@freeman69 · 12.06.2018, 19:27 **[ТС]**

Jewbacabra, зашита от взлома и sql инъекций, а шифрование чтобы было)

@Jewbacabra · 12.06.2018, 19:55

Сообщение от freeman69

зашита от взлома и sql инъекций

от sql инъекций это никак не защитит, в отличае от варианта что сейчас $id = (int)$_GET['id']

@worldandlife · 12.06.2018, 20:47

Сообщение от Jewbacabra

$id = (int)$_GET['id']

То есть для защиты от sql инъекций и xss атак нужно: когда добавляем или достаем данные из БД
в случае если будет ?id= числа, то достаточно приводить к целому типу , как в данном случае,
а если сажем ?category=текст, то нужно пропустить переменную через фильтры, чтобы обрезать теги, экранировать кавычки, делать подготавливаемые запросы я правильно понимаю?

@Jewbacabra · 12.06.2018, 21:01

Сообщение от worldandlife

То есть для защиты от sql инъекций и xss атак нужно: когда добавляем или достаем данные из БД

sql инъекции и xss похожие по принципу атаки: вносят изменения в динамически формируемый код, тем самым изменяя его поведение, но затрагивают разные места приложения, и поэтому бороться с ними необходимо разными средствами.

Сообщение от worldandlife

в случае если будет ?id= числа, то достаточно приводить к целому типу , как в данном случае,
а если сажем ?category=текст, то нужно пропустить переменную через фильтры, чтобы обрезать теги, экранировать кавычки, делать подготавливаемые запросы я правильно понимаю?

Да, можно и с числами поступать как со строками, чтобы все было единообразно

Новые блоги и статьи Все статьи Все блоги /
SDL3 для Web (WebAssembly): Обработчик клика мыши в браузере ПК и касания экрана в браузере на мобильном устройстве 8Observer8 02.02.2026 Содержание блога Для начала пошагово создадим рабочий пример для подготовки к экспериментам в браузере ПК и в браузере мобильного устройства. Потом напишем обработчик клика мыши и обработчик. . .	Философия технологии iceja 01.02.2026 На мой взгляд у человека в технических проектах остается роль генерального директора. Все остальное нейронки делают уже лучше человека. Они не могут нести предпринимательские риски, не могут. . .	SDL3 для Web (WebAssembly): Вывод текста со шрифтом TTF с помощью SDL3_ttf 8Observer8 01.02.2026 Содержание блога В этой пошаговой инструкции создадим с нуля веб-приложение, которое выводит текст в окне браузера. Запустим на Android на локальном сервере. Загрузим Release на бесплатный. . .	SDL3 для Web (WebAssembly): Сборка C/C++ проекта из консоли 8Observer8 30.01.2026 Содержание блога Если вы откроете примеры для начинающих на официальном репозитории SDL3 в папке: examples, то вы увидите, что все примеры используют следующие четыре обязательные функции, а. . .
SDL3 для Web (WebAssembly): Установка Emscripten SDK (emsdk) и CMake для сборки C и C++ приложений в Wasm 8Observer8 30.01.2026 Содержание блога Для того чтобы скачать Emscripten SDK (emsdk) необходимо сначало скачать и уставить Git: Install for Windows. Следуйте стандартной процедуре установки Git через установщик. . . .	SDL3 для Android: Подключение Box2D v3, физика и отрисовка коллайдеров 8Observer8 29.01.2026 Содержание блога Box2D - это библиотека для 2D физики для анимаций и игр. С её помощью можно определять были ли коллизии между конкретными объектами. Версия v3 была полностью переписана на Си, в. . .	Инструменты COM: Сохранение данный из VARIANT в файл и загрузка из файла в VARIANT bedvit 28.01.2026 Сохранение базовых типов COM и массивов (одномерных или двухмерных) любой вложенности (деревья) в файл, с возможностью выбора алгоритмов сжатия и шифрования. Часть библиотеки BedvitCOM Использованы. . .	SDL3 для Android: Загрузка PNG с альфа-каналом с помощью SDL_LoadPNG (без SDL3_image) 8Observer8 28.01.2026 Содержание блога SDL3 имеет собственные средства для загрузки и отображения PNG-файлов с альфа-каналом и базовой работы с ними. В этой инструкции используется функция SDL_LoadPNG(), которая. . .

@freeman69 0 / 0 / 2 Регистрация: 07.01.2017 Сообщений: 43
	12.06.2018, 19:13 [ТС]
	Jewbacabra, И как поступить лучше? Чтобы и защита была и шифрование 0

@freeman69 0 / 0 / 2 Регистрация: 07.01.2017 Сообщений: 43
	12.06.2018, 19:27 [ТС]
	Jewbacabra, зашита от взлома и sql инъекций, а шифрование чтобы было) 0