Warning: Cannot use a scalar value as an array in /home/admin/public_html/forum/include/fm.class.php on line 757

Warning: Invalid argument supplied for foreach() in /home/admin/public_html/forum/include/fm.class.php on line 770

Warning: Invalid argument supplied for foreach() in /home/admin/public_html/forum/topic.php on line 737
Форумы портала PHP.SU :: Сохранение и вывод пользовательских данных

 PHP.SU

 Программирование на PHP, MySQL и другие веб-технологии
PHP.SU Портал     На главную страницу форума Главная     Помощь Помощь     Поиск Поиск     Поиск Яндекс Поиск Яндекс     Вакансии  Пользователи Пользователи


 Страниц (1): [1]   

> Описание: Сохранение и вывод пользовательских данных
Поиск в теме | Версия для печати
biperch
Отправлено: 23 Марта, 2016 - 17:51:49
Post Id



Частый посетитель


Покинул форум
Сообщений всего: 588
Дата рег-ции: Окт. 2009  
Откуда: Днепропетровск


Помог: 8 раз(а)
Добрый день
Подскажите правильную логику обработки введенных пользователем данных.

Пользователь вводит данные
Мы данные сохраняем в БД
Выводим страницу пользователю для просмотра, товар например
Позволяем отредактировать эти данные.

Необходимо определится с экранированием тегов HTML для отображения к примеру спасает strip_tags. Где нужно там htmlspecialchars.

Отсюда вопрос, на каком этапе использовать экранирование чистку введенных данных, при сохранении в бд, или при выводе. Если при вставке в БД тогда при редактировании в textarea input попадают HTML теги обрамленные сущностями не читабельными пользователю и тд.?
 
 Top
kuller
Отправлено: 23 Марта, 2016 - 20:44:30
Post Id



Частый посетитель


Покинул форум
Сообщений всего: 561
Дата рег-ции: Нояб. 2009  


Помог: 2 раз(а)
biperch пишет:
при редактировании в textarea input попадают HTML теги


Вот здесь и используй strip_tags
 
 Top
biperch
Отправлено: 24 Марта, 2016 - 10:11:39
Post Id



Частый посетитель


Покинул форум
Сообщений всего: 588
Дата рег-ции: Окт. 2009  
Откуда: Днепропетровск


Помог: 8 раз(а)
[quote=kuller][/quote]
kuller пишет:
biperch пишет:
при редактировании в textarea input попадают HTML теги


Вот здесь и используй strip_tags


вывод в input и в textarea как раз безопасен, а вот на саму страницу нужно через strip_tags мне так кажется
(Добавление)
Как мне кажется или при сохранении сразу вырезать заведомо лишнее
Или сохранять в том виде что ввели, а при выводе на "просмотр" чистить от опасного кода...
 
 Top
Мелкий Супермодератор
Отправлено: 24 Марта, 2016 - 10:42:17
Post Id



Активный участник


Покинул форум
Сообщений всего: 11926
Дата рег-ции: Июль 2009  
Откуда: Россия, Санкт-Петербург


Помог: 618 раз(а)
biperch пишет:
вывод в input и в textarea как раз безопасен

Мда?
Ну удачи. Попробуйте в textarea вывести переменную:
$textarea = '</textarea><script>alert(document.cookie)</script>';
А в input
$input = '\'" onfocus="alert(document.cookie)" ';

htmlspecialchars на всё, в чём именно вы намеренно не вставили HTML для вывода как HTML.
strip_tags - нужен довольно редко.


-----
PostgreSQL DBA
 
 Top
Поиск в теме | Версия для печати
Страниц (1): [1]
Сейчас эту тему просматривают: 0 (гостей: 0, зарегистрированных: 0)
« Вопросы новичков »


Все гости форума могут просматривать этот раздел.
Только зарегистрированные пользователи могут создавать новые темы в этом разделе.
Только зарегистрированные пользователи могут отвечать на сообщения в этом разделе.
  



Powered by PHP  Powered By MySQL  Powered by Nginx  Valid CSS  RSS

 
Powered by ExBB FM 1.0 RC1. InvisionExBB