Warning: Cannot use a scalar value as an array in /home/admin/public_html/forum/include/fm.class.php on line 757

Warning: Invalid argument supplied for foreach() in /home/admin/public_html/forum/include/fm.class.php on line 770
Форумы портала PHP.SU :: Версия для печати :: Как защититься от инъекции такого типа
Форумы портала PHP.SU » » Хранение данных, их вывод и обработка » Как защититься от инъекции такого типа

Страниц (1): [1]
 

1. bambr32 - 06 Февраля, 2015 - 21:43:06 - перейти к сообщению
У меня есть форма, в которой возможно ввести сообщение, которое в дальнейшем будет отображаться на сайте. Сообщения хранятся в MySQL

Столкнулся с такой проблемой: если ввести например

<form id="myForm">
<textarea rows="7" name="message_text" cols="30"></textarea>
<input onclick="FormClick(); return false" type="button" value="написать">
</form>

то соответственно форма сохраняется в БД и в дальнейшем при выводе происходит отображение данной формы. Также возможно насколько я понял и тот же Java-скрипт засунуть в сообщение.

Как можно исключить возможность загрузки такого "счастья" в БД, или же как загружать, но как-то экранировать куски такого кода?
2. OrmaJever - 06 Февраля, 2015 - 22:27:27 - перейти к сообщению

 

Powered by ExBB FM 1.0 RC1