Warning: Cannot use a scalar value as an array in /home/admin/public_html/forum/include/fm.class.php on line 757
Warning: Invalid argument supplied for foreach() in /home/admin/public_html/forum/include/fm.class.php on line 770
Warning: Invalid argument supplied for foreach() in /home/admin/public_html/forum/topic.php on line 737 Форумы портала PHP.SU :: Фильтрация текста, от "вредных" символв
Покинул форум
Сообщений всего: 213
Дата рег-ции: Май 2010 Откуда: Россия, Ростов-на-Дону
Помог: 3 раз(а)
Здравствуйте! Меня интерисует насколько безопасна функция htmlspecialhars при вводе текста в БД?
grefon
Отправлено: 29 Декабря, 2010 - 17:14:29
Частый посетитель
Покинул форум
Сообщений всего: 823
Дата рег-ции: Нояб. 2010
Помог: 32 раз(а)
Что значит безопасна? Это функция преобразования символов в сущности. Вроде дыр в ней не обнаруживалось
Или Вам нужно почистить текст от возможного вредоносного кода, прежде чем записать его в бд?
----- ____________________________________________________________________
Ну как то так, наверное. http://grefon[dot]com
Coder1994
Отправлено: 29 Декабря, 2010 - 17:15:42
Частый гость
Покинул форум
Сообщений всего: 213
Дата рег-ции: Май 2010 Откуда: Россия, Ростов-на-Дону
Помог: 3 раз(а)
grefon пишет:
Что значит безопасна? Это функция преобразования символов в сущности. Вроде дыр в ней не обнаруживалось
Или Вам нужно почистить текст от возможного вредоносного кода, прежде чем записать его в бд?
Да, именно почистить текст от вредоносного кода
grefon
Отправлено: 29 Декабря, 2010 - 17:25:55
Частый посетитель
Покинул форум
Сообщений всего: 823
Дата рег-ции: Нояб. 2010
Помог: 32 раз(а)
В принципе в базу поступает битовая информация, то есть практически невозможно передать в базу такую команду в виде заносимого кода, которая бы обработалась базой некорректно и повлияла бы на безопасность. Обычно достаточно проэкранировать вносимый текст, чтобы никакая кавычка или другой символ не прервали запрос. То что Вы пройдетесь по тексту htmlspecialchars на безопасность по большому счету не повлияет, повлияет только на выдаваемый текст пользователю из базы в дальнейшем.
----- ____________________________________________________________________
Ну как то так, наверное. http://grefon[dot]com
Coder1994
Отправлено: 29 Декабря, 2010 - 17:29:04
Частый гость
Покинул форум
Сообщений всего: 213
Дата рег-ции: Май 2010 Откуда: Россия, Ростов-на-Дону
Помог: 3 раз(а)
grefon пишет:
В принципе в базу поступает битовая информация, то есть практически невозможно передать в базу такую команду в виде заносимого кода, которая бы обработалась базой некорректно и повлияла бы на безопасность. Обычно достаточно проэкранировать вносимый текст, чтобы никакая кавычка или другой символ не прервали запрос. То что Вы пройдетесь по тексту htmlspecialchars на безопасность по большому счету не повлияет, повлияет только на выдаваемый текст пользователю из базы в дальнейшем.
----- ____________________________________________________________________
Ну как то так, наверное. http://grefon[dot]com
JustUserR
Отправлено: 29 Декабря, 2010 - 17:54:39
Активный участник
Покинул форум
Сообщений всего: 8715
Дата рег-ции: Июнь 2009
Помог: 17 раз(а)
Coder1994 пишет:
Меня интерисует насколько безопасна функция htmlspecialhars при вводе текста в БД?
Вопрос безопасности включаемых информационных полей в некотором хранинище данных или интерполяции и целевое выражение в приложении определяется в общем случае уровнем представления элементов относительно текущего контейнера их хранения и целевого объекта - в случае рассмотрения SQL-запроса осуществляется неявное пониижение уровня представления интерполируемой строки в синтаксческую констуркцию - по этой причине необходимо применение функции повышения уровня их представления относиетльно разграничивающего элемента и текущей кодовой таблицы
----- Сделать можно все что угодно - нужно только старание, терпение и хороший поисковик
Безлимитный web-хостинг от 15 рублей за 40 МБ дискового пространства - http://ihost[dot]oks71[dot]ru/
OrmaJever
Отправлено: 29 Декабря, 2010 - 18:00:49
Активный участник
Покинул форум
Сообщений всего: 7540
Дата рег-ции: Янв. 2010 Откуда: Чернигов
Помог: 299 раз(а)
Coder1994 пишет:
Здравствуйте! Меня интерисует насколько безопасна функция htmlspecialhars при вводе текста в БД?
а кто вам сказал что та функция используется для записи даныхв бд? Для записи фильтруйте спец символы mysql_escape_string(), а htmlspecialhars() используется для вывода даных на страницу, дабы избежать xss атак.
----- Если вы хотя бы 3-4 раза не решите всё выкинуть и начать заново - вы явно что-то делаете не так.
Все гости форума могут просматривать этот раздел. Только зарегистрированные пользователи могут создавать новые темы в этом разделе. Только зарегистрированные пользователи могут отвечать на сообщения в этом разделе.