| Tematy otagowane jako: ochronie |
| 1. Czy to wystarczy w ochronie przed SQL Injection? LUA+MySQL |
| Dzie? dobry, jestem pocz?tkuj?cy je?li chodzi o MySQL, lecz uda?o stworzy? mi si? system kont oraz zapisu danych gracza (tj. pozycja, skin, pieni?dze etc.). Opracowa?em pewien system ochrony przed atakami SQL Injection i chcia?bym zapyta? znawc?w tematu czy to wystaczaj?ce. Mianowicie gdy skrypt musi zapisa? jaki? string do MySQL to najpierw z poziomu LUA koduje go do base64 i otrzymany szyfr jest zapisywany do bazy danych MySQL (zamiast "czystego" stringu), a gdy go pobieram jest dekodowany. Osobi?cie nie potrafie wyobra?i? sposobu na SQL injection przy zastosowaniu czego? takiego, ale mo?e jest co? o czym nie wiem  Czyta?em, ?e stosowanie mysql_escape_string nie jest w 100% bezpieczne, a ponadto nie pozwala mi na zapisywanie polskich znak?w kt?rych potrzebuje // Edit Mam jeszcze jeden problem z MySQL. Gdy skrypt nie wykonuje ?adnych zapyta? w ci?gu minuty, to trace po??czenie z MySQL. Problem znika gdy doda?em timera kt?ry co 30 sekund pinguje baze danych, ale po??czenie traci sie gdy wchodze do bazy danych z phpmyadmin. To normalne? |