Помогите с безопасностью

smartest

14.06.11 ● 22:37 ● № 1

сканер выдал кучу ошибок типа

/modules/poll/class.poll.php $id
550: WHERE id = '$id'"); SQL Injection!
/modules/roadmap/class.roadmap.php $_REQUEST
58: project_desc = '" . $_REQUEST['project_desc']. "', SQL Injection!
/modules/roadmap/class.roadmap.php $_REQUEST
59: project_name = '" . $_REQUEST['project_name'] . "', SQL Injection!

а что с ними делать, как исправить?

Добавлено (14.06.11, 22:37)
---------------------------------------------
пользовался этим сканером сканер http://find-xss.net/

guru

28.06.11 ● 02:45 ● № 2 ● Измененно guru - Вт, 28.06.11, 02:46

данные которые лежат в массиве $_REQUEST надо пропустить через функцию htmlspecialchars() или как-то так.
пример $_REQUEST['project_desc'] = htmlspecialchars($_REQUEST['project_desc'] );
а данные которые подставляешь в sql запрос mysql_real_escape_string().

Меня все время преследуют умные мысли... но я быстрее!!!