Warning: Cannot use a scalar value as an array in /home/admin/public_html/forum/include/fm.class.php on line 757

Warning: Invalid argument supplied for foreach() in /home/admin/public_html/forum/include/fm.class.php on line 770

Warning: Invalid argument supplied for foreach() in /home/admin/public_html/forum/topic.php on line 737
Форумы портала PHP.SU :: Фильтрация входных данных

 PHP.SU

 Программирование на PHP, MySQL и другие веб-технологии
PHP.SU Портал     На главную страницу форума Главная     Помощь Помощь     Поиск Поиск     Поиск Яндекс Поиск Яндекс     Вакансии  Пользователи Пользователи


 Страниц (1): [1]   

> Описание: вопрос безопасности
Поиск в теме | Версия для печати
Зверь
Отправлено: 26 Ноября, 2011 - 10:07:53
Post Id



Частый гость


Покинул форум
Сообщений всего: 243
Дата рег-ции: Окт. 2011  


Помог: 7 раз(а)
Здравствуйте!

Интересует вот такая написанная функция

PHP:
скопировать код в буфер обмена
  1.  
  2. function clear($data){
  3.         $data = stripslashes($data);
  4.         $data = strip_tags($data);
  5.         $data = trim($data);
  6.         $data = htmlspecialchars($data, ENT_QUOTES);
  7. return $data;
  8. }
  9.  


Вопрос, возможно ли ее как-то обойти? Есть ли у нее минусы?
Может ли она пропустить sql-инъекцию или какую-то еще?

В нее постом приходит некий текст, она его фильтрует и после текст добавляется в БД выводится в браузер.

Если есть решение лучше, подскажите пожалуйста

(Отредактировано автором: 26 Ноября, 2011 - 10:09:11)

 
 Top
Мелкий Супермодератор
Отправлено: 26 Ноября, 2011 - 10:29:49
Post Id



Активный участник


Покинул форум
Сообщений всего: 11926
Дата рег-ции: Июль 2009  
Откуда: Россия, Санкт-Петербург


Помог: 618 раз(а)
Использовать можно. При том, одной htmlspecialchars достаточно.
Правда, штатной функцией экранирования базы данных лучше тоже прогонять, ей лучше знать, что ещё экранировать надо.

Ну а stripslashes лучше применять только в условии:
PHP:
скопировать код в буфер обмена
  2.              $data = stripslashes($data);

Т.к. корректно работает только с уже проэкранированными данными.


-----
PostgreSQL DBA
 
 Top
Зверь
Отправлено: 26 Ноября, 2011 - 10:50:16
Post Id



Частый гость


Покинул форум
Сообщений всего: 243
Дата рег-ции: Окт. 2011  


Помог: 7 раз(а)
Спасибо Улыбка

Использую PDO

И, как понял, то при использовании подготовленных запросов все слешится само(Прав?).

(Отредактировано автором: 26 Ноября, 2011 - 11:08:46)

 
 Top
Мелкий Супермодератор
Отправлено: 26 Ноября, 2011 - 11:03:13
Post Id



Активный участник


Покинул форум
Сообщений всего: 11926
Дата рег-ции: Июль 2009  
Откуда: Россия, Санкт-Петербург


Помог: 618 раз(а)
Там вообще механизм другой передачи значений, экранирование и не нужно.


-----
PostgreSQL DBA
 
 Top
Зверь
Отправлено: 26 Ноября, 2011 - 11:09:31
Post Id



Частый гость


Покинул форум
Сообщений всего: 243
Дата рег-ции: Окт. 2011  


Помог: 7 раз(а)
И еще вопросец
Как лучше хранить данные: фильтровать и добавлять в базу или добавлять и при выводе фильтровать?
 
 Top
Мелкий Супермодератор
Отправлено: 26 Ноября, 2011 - 11:53:28
Post Id



Активный участник


Покинул форум
Сообщений всего: 11926
Дата рег-ции: Июль 2009  
Откуда: Россия, Санкт-Петербург


Помог: 618 раз(а)
В общем-то, если не нужен оригинал данных - то сначала обрабатывать.


-----
PostgreSQL DBA
 
 Top
xhugo
Отправлено: 29 Ноября, 2011 - 21:42:35
Post Id



Посетитель


Покинул форум
Сообщений всего: 357
Дата рег-ции: Дек. 2010  


Помог: 1 раз(а)
1) нет. но достаточно и htmlspecialchars(strip_tags($param));
2) конечно же сначало фильтровать, а потом только добавлять. и такая функция не спасет при добавление данных в базу
 
 Top
animen
Отправлено: 19 Февраля, 2012 - 15:25:38
Post Id



Новичок


Покинул форум
Сообщений всего: 13
Дата рег-ции: Июль 2011  


Помог: 0 раз(а)
Подскажите, а вот такая функция проверки данных перешедших из формы от пользователя будет лучше и надежнее, чем функция в начале темы?
То есть очистит ли это поступающие данные перед сохранение в БД и предотвратит ли это от стандартных sql инъекций?


CODE (htmlphp):
скопировать код в буфер обмена
  1.  
  2.  
  3.  
  4. function clear($in,$error=0) {
  5.  
  6.     $in = trim($in);
  7.  
  8.     if (strlen($in))
  9.     {
  10.         $in = htmlspecialchars($in);
  11.         $in = preg_replace('/&(\#[0-9]+;)/','&$1',$in);
  12.     }
  13.     elseif ($error)
  14.     {
  15.         return false;
  16.     }
  17.  
  18.     if (!ini_get('magic_quotes_gpc'))
  19.     {
  20.         if (!is_array($in))
  21.             $in = addslashes($in);
  22.         else
  23.             $in = hesk_slashArray($in);
  24.     }
  25.  
  26.     return $in;
  27.  
  28. }
  29.  
  30.  
 
 Top
Tox
Отправлено: 19 Февраля, 2012 - 19:47:47
Post Id



Посетитель


Покинул форум
Сообщений всего: 314
Дата рег-ции: Нояб. 2011  
Откуда: Россия


Помог: 0 раз(а)
Оч интересная тема, а здесь(http://www.php.su/functions/?strip_tags) опечатка:
Для удаления тэго используется (извините за оффтоп, однако по теме Хорошо )


-----
In Console We Trust. Code hard. Or die.
 
 Top
Поиск в теме | Версия для печати
Страниц (1): [1]
Сейчас эту тему просматривают: 0 (гостей: 0, зарегистрированных: 0)
« Хранение данных, их вывод и обработка »


Все гости форума могут просматривать этот раздел.
Только зарегистрированные пользователи могут создавать новые темы в этом разделе.
Только зарегистрированные пользователи могут отвечать на сообщения в этом разделе.
  



Powered by PHP  Powered By MySQL  Powered by Nginx  Valid CSS  RSS

 
Powered by ExBB FM 1.0 RC1. InvisionExBB