PHP Kodiranje

Pozdravljeni.

Mene pa muči naslednja zadeva. Zaradi zaščite (rad bi skril) bi zakodiral vse parametre v url naslovu.

Primer: nekaj.php?id=5&action=brisi bi rad kodiral v nekaj.php?guid=2f3fasdfq4lfjxil234t2lydjfgra

Niz s katerim se kodira se naključno generira in je shranjen v sejo. To pomeni da ta ključ velja samo za trenutno sejo.
Torej če kdo spremeni v guid samo eno črko je zadeva fuč.

Imate kakšen predlog?

zaradi sql injectiona, ter zaradi tega, ker določeni parametri niso za javnost.

Kaj praviš?

wtf? kako vezo ma tuki sql ijection?

če sploh nevem kaj bi rad, zaka bi meu zd nek id vsak drugačen? čemu? sej nima varnostnega dostopa do user sistema...

No, se mi je kar zdelo...
SQL injection rešuješ tako, da escapaš stringe (parametre), ki jih uporabljaš za sestavljanje SQL poizvedbe oziroma uporabiš stored procedure ter te stringe pošiljaš kot parametre... pa še kakšen način je (npr. prepared queries).

Določeni parametri niso za v javnost? Kateri pa, če smem vprašat? Če te skrbi, da kdo tretji prisluškuje povezavi, uporabi SSL. Če pa te skrbi, da uporabnik ne bi slučajno videl česa v stilu ?action=delete&ID=17, se pa spet lotevaš varnosti na napačnem koncu. Raje pred izvedbo akcije v svoji PHP kodi preveri, ali uporabnik ima pravice za izvedbo določene akcije, ne pa s skrivanjem parametrov, prosim lepo...

Kaj pa so stored procedure?

Enako velja za stored procedure. Go google! ("stored procedures") Imaš v dosti člankih napisano nekaj tudi o tem. Na kratko povedano pa so to funkcije, ki jih napišeš v sami bazi, ter jih potem iz kode kličeš podobno kot poizvedbe, le da ne pošiljaš sestavljenega queryja, ampak to pač izgleda kot klic neke funkcije v bazi. Baza pa potem podane parametre že zna sama jemati kot vrednosti parametrov in ne kot del SQL poizvedbe - ne glede na to, ali parameter vsebuje kakšne narekovaje (in druge posebne znake) ali ne. Tako možnost SQL injectiona avtomatično odpade.

za sql injection uporab addslashes()