PHP.SU

Программирование на PHP, MySQL и другие веб-технологии

PHP.SU Портал

Главная

Помощь

Поиск

Поиск Яндекс Вакансии

Пользователи

Здравствуйте, Гость

( Вход · Регистрация · Правила форума )

Забыли пароль?

Как обезопасить от html и mysql-запросов

Форумы портала PHP.SU » PHP » Программирование на PHP » Вопросы новичков (Модераторы: OrmaJever, Саныч, Строитель)

Страниц (1): [1]

Описание: текст, заносящийся в бд

Поиск в теме | Версия для печати

Еугений	Отправлено: 09 Марта, 2012 - 17:07:51
Частый гость Покинул форум Сообщений всего: 176 Дата рег-ции: Апр. 2011 Помог: 1 раз(а)	Всем привет. Вопрос - надежна ли вот этот способ обрабоки текста? PHP: скопировать код в буфер обмена <?PHP require_once('db_login.php'); $text = "<b>a'sas</b>"; $text = mysql_real_escape_string(htmlspecialchars($text));/lдалее заносим в бд/ ?> просто надо заэкранить кавычки да и от тегов избавиться. а при извлчении воспользоватся stripslash. Не знаю, конфликтуют ли эти функции в таком порядке (mysql_real_escape_string(htmlspecialchars(); но вроде норм работает. Или не стоит рисковать, воспользоватся только mysql_real_escape_string, а при извлечении текста постоянно использовать htmlspecialchars? Ладно, сам разобрался. при добавлении mysql_real_escape_string при извлечении htmlspecialchars. (Отредактировано автором: 09 Марта, 2012 - 17:43:25)

zypikov	Отправлено: 09 Марта, 2012 - 17:51:44
Частый гость Покинул форум Сообщений всего: 219 Дата рег-ции: Нояб. 2010 Помог: 3 раз(а)	[quote=Еугений]Не знаю, конфликтуют ли эти функции в таком порядке (mysql_real_escape_string(htmlspecialchars();[/quote] Насколько я понял первая полная идентичность второй, за исключение того, что первая не экранирует символы % и _. Зачем применять одно и тоже несколько раз?? второй помойму вполне достаточно. [quote=Еугений]Или не стоит рисковать, воспользоватся только mysql_real_escape_string, а при извлечении текста постоянно использовать htmlspecialchars?[quote=Еугений]. Не понимаю какой смысл в применении htmlspecialchars при извлечении из базы??? Ваша задача обезопасить себя от того чтобы в строке запроса не был какой-нибудь вредоносный код. То есть до записи в базу. (Отредактировано автором: 09 Марта, 2012 - 17:56:32) ----- У всего есть обратная сторона.

Еугений	Отправлено: 09 Марта, 2012 - 18:29:27
Частый гость Покинул форум Сообщений всего: 176 Дата рег-ции: Апр. 2011 Помог: 1 раз(а)	[quote=zypikov][quote=Еугений]Не знаю, конфликтуют ли эти функции в таком порядке (mysql_real_escape_string(htmlspecialchars();[/quote] Насколько я понял первая полная идентичность второй, за исключение того, что первая не экранирует символы % и _. Зачем применять одно и тоже несколько раз?? второй помойму вполне достаточно. [quote=Еугений]Или не стоит рисковать, воспользоватся только mysql_real_escape_string, а при извлечении текста постоянно использовать htmlspecialchars? Еугений пишет: . Не понимаю какой смысл в применении htmlspecialchars при извлечении из базы??? Ваша задача обезопасить себя от того чтобы в строке запроса не был какой-нибудь вредоносный код. То есть до записи в базу. если кто нибудь например введет в базу <б> какой то тексту </б> то при извлечении из базы без htmlspecialchars текст будет жирным.

Hidalgo	Отправлено: 09 Марта, 2012 - 18:37:56
Частый гость Покинул форум Сообщений всего: 245 Дата рег-ции: Февр. 2012 Откуда: Димитровград Помог: 1 раз(а)	Еугений пишет: Не понимаю какой смысл в применении htmlspecialchars при извлечении из базы??? Ваша задача обезопасить себя от того чтобы в строке запроса не был какой-нибудь вредоносный код. То есть до записи в базу. Не только в базу,обязательно нужно проверить все выводимые на экран от пользователя данные с помощью htmlspecialchars Хорошая статья на эту тему: http://phpfaq[dot]ru/slashes (Отредактировано автором: 09 Марта, 2012 - 18:38:57)

zypikov	Отправлено: 09 Марта, 2012 - 18:40:11
Частый гость Покинул форум Сообщений всего: 219 Дата рег-ции: Нояб. 2010 Помог: 3 раз(а)	Еугений пишет: если кто нибудь например введет в базу <б> какой то тексту </б> то при извлечении из базы без htmlspecialchars текст будет жирным. А если эту будет любой другой тег?)))) А как это вообще выглядит после извлечения из базы?? Скорее всего htmlspecialchars просто экранирует символы <> и поэтому <b></b> \<b\> будет таким </b\> Для убирание таких тэгов нужна другая функция ----- У всего есть обратная сторона.

LIME	Отправлено: 09 Марта, 2012 - 18:42:56
Активный участник Покинул форум Сообщений всего: 10732 Дата рег-ции: Нояб. 2010 Помог: 322 раз(а)	zypikov нет не экранирует а меняет на хтмл-сущности посмотрите описание самая подходящая ф-ция (Добавление) можно конечно совсем их вырезать но это часто не приемлемо

zypikov	Отправлено: 09 Марта, 2012 - 18:59:42
Частый гость Покинул форум Сообщений всего: 219 Дата рег-ции: Нояб. 2010 Помог: 3 раз(а)	Hidalgo пишет: Не только в базу,обязательно нужно проверить все выводимые на экран от пользователя данные с помощью htmlspecialchars Хорошая статья на эту тему: http://phpfaq.ru/slashes аааа.., каюсь не знал(( ----- У всего есть обратная сторона.

Поиск в теме | Версия для печати

Страниц (1): [1]

Сейчас эту тему просматривают: 0 (гостей: 0, зарегистрированных: 0)

« Вопросы новичков »

Все гости форума могут просматривать этот раздел.
Только зарегистрированные пользователи могут создавать новые темы в этом разделе.
Только зарегистрированные пользователи могут отвечать на сообщения в этом разделе.