закрыть уязвимость

1. Удаленный (29.12.2010 / 17:46)
есть такая уязвимость :
http://домен.ком/chat.php?start=-20+union+select+from+users+limit+1
выдает следущее : You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '-20 union select from users limit 1, 10' at line 1

как закрыть эту дырку?

2. ZaRiN (29.12.2010 / 18:16)
фильтруй принятые данные

3. Удаленный (29.12.2010 / 18:20)
2.спс) дай плиз мануал как филтровать принятые данные

4. Studentsov (29.12.2010 / 23:10)
$var = mysql_real_escape_string ($var);
Но в твоём случае, когда переменная должна быть числом, надо писать $var = (int)$var;

5. Удаленный (30.12.2010 / 00:34)
4.спс

6. iNeeXT (30.12.2010 / 11:37)
в твоём случае
http://букмекерка.ком/chat.php?start=-20+union+select+from+users+limit+1

<?
/* Функция отфильтровки чисел */
function int($int)
{
	return abs((int)$int);
}
?>

и фильтрируешь

место my_htmlspecialchars($_GET['start']);
а
int($_GET['start']);

это тебе (GUF) угрожает?

URL: https://visavi.net/topics/17085