Warning: Cannot use a scalar value as an array in /home/admin/public_html/forum/include/fm.class.php on line 757

Warning: Invalid argument supplied for foreach() in /home/admin/public_html/forum/include/fm.class.php on line 770

Warning: Invalid argument supplied for foreach() in /home/admin/public_html/forum/topic.php on line 737
Форумы портала PHP.SU :: Вопросы по htmlspecialchars

 PHP.SU

 Программирование на PHP, MySQL и другие веб-технологии
PHP.SU Портал     На главную страницу форума Главная     Помощь Помощь     Поиск Поиск     Поиск Яндекс Поиск Яндекс     Вакансии  Пользователи Пользователи


 Страниц (1): [1]   

> Без описания
Поиск в теме | Версия для печати
RickMan
Отправлено: 04 Января, 2013 - 00:35:10
Post Id


Участник


Покинул форум
Сообщений всего: 1033
Дата рег-ции: Май 2012  


Помог: 30 раз(а)
Здравствуйте,
у меня вопрос по htmlspecialchars. Я в БД заношу текст, который ввел пользователь, заранее прогоняя через фильтр, в котором есть htmlspecialchars, и он заменяет следовательно и ковычки... При отображении уже на экран ковычек нет а есть " . Как эту проблему решить не теряя в защите? Не отказываться же от ковычек...
 
 Top
DelphinPRO
Отправлено: 04 Января, 2013 - 00:56:21
Post Id



Активный участник


Покинул форум
Сообщений всего: 7187
Дата рег-ции: Февр. 2012  


Помог: 353 раз(а)
RickMan пишет:
Я в БД заношу текст, который ввел пользователь, заранее прогоняя через фильтр, в котором есть htmlspecialchars,
не надо перед занесением текста в БД применять эту функцию.
Для данного случая достаточно PDO::quote или mysqli::real_escape_string


-----
Чем больше узнаю, тем больше я не знаю.
 
 Top
RickMan
Отправлено: 04 Января, 2013 - 00:58:16
Post Id


Участник


Покинул форум
Сообщений всего: 1033
Дата рег-ции: Май 2012  


Помог: 30 раз(а)
у меня база на mysql, речь о mysqli или pdo тут не идет...тут идет речь именно об этом случае...не думаю что решения нету...
(Добавление)
то есть получается можно в htmlspecialchars убрать перекодирование ковычек и добавить mysql_real_escape_string и я в защите не потеряю? В плане xss и так далее...
 
 Top
DelphinPRO
Отправлено: 04 Января, 2013 - 01:14:25
Post Id



Активный участник


Покинул форум
Сообщений всего: 7187
Дата рег-ции: Февр. 2012  


Помог: 353 раз(а)
RickMan пишет:
В плане xss и так далее...

при добавлении в базу защищайтесь от sql-injection (mysql_real_escape_string)
при выводе в браузер - от XSS (htmlspecialchars)


-----
Чем больше узнаю, тем больше я не знаю.
 
 Top
RickMan
Отправлено: 04 Января, 2013 - 08:57:31
Post Id


Участник


Покинул форум
Сообщений всего: 1033
Дата рег-ции: Май 2012  


Помог: 30 раз(а)
Я понимаю, но в этом и проблема! Что эта функция заменяет ковычки... эти ковычки потом не экраниззируются как надо, а экранизируются как ", так и должно быть? или есть решение?
 
 Top
kappa
Отправлено: 04 Января, 2013 - 09:56:36
Post Id



Посетитель


Покинул форум
Сообщений всего: 349
Дата рег-ции: Апр. 2011  


Помог: 3 раз(а)
Так должно помочь
PHP:
скопировать код в буфер обмена
  1. htmlentities($data, ENT_QUOTES, "UTF-8");
 
 Top
Поиск в теме | Версия для печати
Страниц (1): [1]
Сейчас эту тему просматривают: 0 (гостей: 0, зарегистрированных: 0)
« Вопросы новичков »


Все гости форума могут просматривать этот раздел.
Только зарегистрированные пользователи могут создавать новые темы в этом разделе.
Только зарегистрированные пользователи могут отвечать на сообщения в этом разделе.
  



Powered by PHP  Powered By MySQL  Powered by Nginx  Valid CSS  RSS

 
Powered by ExBB FM 1.0 RC1. InvisionExBB