Warning: Cannot use a scalar value as an array in /home/admin/public_html/forum/include/fm.class.php on line 757

Warning: Invalid argument supplied for foreach() in /home/admin/public_html/forum/include/fm.class.php on line 770
Форумы портала PHP.SU :: Версия для печати :: Фильтрация текста, от "вредных" символв
Форумы портала PHP.SU » PHP » Программирование на PHP » Фильтрация текста, от "вредных" символв

Страниц (1): [1]
 

1. Coder1994 - 29 Декабря, 2010 - 17:08:41 - перейти к сообщению
Здравствуйте! Меня интерисует насколько безопасна функция htmlspecialhars при вводе текста в БД?
2. grefon - 29 Декабря, 2010 - 17:14:29 - перейти к сообщению
Что значит безопасна? Это функция преобразования символов в сущности. Вроде дыр в ней не обнаруживалось Улыбка
Или Вам нужно почистить текст от возможного вредоносного кода, прежде чем записать его в бд?
3. Coder1994 - 29 Декабря, 2010 - 17:15:42 - перейти к сообщению
grefon пишет:
Что значит безопасна? Это функция преобразования символов в сущности. Вроде дыр в ней не обнаруживалось Улыбка
Или Вам нужно почистить текст от возможного вредоносного кода, прежде чем записать его в бд?

Да, именно почистить текст от вредоносного кода
4. grefon - 29 Декабря, 2010 - 17:25:55 - перейти к сообщению
В принципе в базу поступает битовая информация, то есть практически невозможно передать в базу такую команду в виде заносимого кода, которая бы обработалась базой некорректно и повлияла бы на безопасность. Обычно достаточно проэкранировать вносимый текст, чтобы никакая кавычка или другой символ не прервали запрос. То что Вы пройдетесь по тексту htmlspecialchars на безопасность по большому счету не повлияет, повлияет только на выдаваемый текст пользователю из базы в дальнейшем.
5. Coder1994 - 29 Декабря, 2010 - 17:29:04 - перейти к сообщению
grefon пишет:
В принципе в базу поступает битовая информация, то есть практически невозможно передать в базу такую команду в виде заносимого кода, которая бы обработалась базой некорректно и повлияла бы на безопасность. Обычно достаточно проэкранировать вносимый текст, чтобы никакая кавычка или другой символ не прервали запрос. То что Вы пройдетесь по тексту htmlspecialchars на безопасность по большому счету не повлияет, повлияет только на выдаваемый текст пользователю из базы в дальнейшем.

а
PHP:
скопировать код в буфер обмена
  1. $mysqli->real_escape_string($var);
?
6. grefon - 29 Декабря, 2010 - 17:35:07 - перейти к сообщению
Да, именно вот этим: http://www.php.su/functions/?mys...al_escape_string
7. JustUserR - 29 Декабря, 2010 - 17:54:39 - перейти к сообщению
Coder1994 пишет:
Меня интерисует насколько безопасна функция htmlspecialhars при вводе текста в БД?
Вопрос безопасности включаемых информационных полей в некотором хранинище данных или интерполяции и целевое выражение в приложении определяется в общем случае уровнем представления элементов относительно текущего контейнера их хранения и целевого объекта - в случае рассмотрения SQL-запроса осуществляется неявное пониижение уровня представления интерполируемой строки в синтаксческую констуркцию - по этой причине необходимо применение функции повышения уровня их представления относиетльно разграничивающего элемента и текущей кодовой таблицы
8. OrmaJever - 29 Декабря, 2010 - 18:00:49 - перейти к сообщению
Coder1994 пишет:
Здравствуйте! Меня интерисует насколько безопасна функция htmlspecialhars при вводе текста в БД?

а кто вам сказал что та функция используется для записи даныхв бд? Для записи фильтруйте спец символы mysql_escape_string(), а htmlspecialhars() используется для вывода даных на страницу, дабы избежать xss атак.

 

Powered by ExBB FM 1.0 RC1