czytałem conieco w manualu o mysql_real_escape_string (nawet po polsku jest opis:))
jednak jako początkujący webmasjter, niebardzo to rozumiem, więc mam pytanie
czy poniższy skrypt jest bezpieczny??

[PHP] pobierz, plaintext 
<?
//formularz
//łączenie z bazą
// jeśli wypełniono dane w formularzu
 
$login=$_POST['login'];
$haslo=$_POST['haslo'];
$login=mysql_real_escape_string($login);
$haslo = mysql_real_escape_string($haslo)
 
 
  {
   $sql=mysql_query("select * from userzy where login='$login' and haslo='$haslo' ");
   }
?>
[PHP] pobierz, plaintext 

cały ten kod jest pisany "z palca", chce sie tylko dowiedzieć czy takie filtrowanie zmiennych jest bezpieczne, czy to wogóle oto chodzi

edit:// jeszcze jedno
czy "sprintf" to jest to samo co mysql_query?

mysql_real_escape_string ma za zadanie uchronic przed SQL injection tak wiec wstepnie powyzszy kod jest ok, dlaczego wstepnie? bo dochodzi jeszcze kwestia filtrowania txt na wystepowanie znacznikow html

sprintf służy do formatowania stringa, mysql_query do wykonywania zapytan mySQL:)

aha, czyli jak jeszcze te zmienne "przelece" przez htmlspecialchars to będdzie ok?

niom

tak ale w odpowiedni sposób zerknij tu -> http://www.beldzio.com/obsluga-html.freez

dzięki za linka, ten artykuł rozjaśnił mi conieco sprawe
znalazłem tam takie coś

[PHP] pobierz, plaintext 
<?php
$zmienna = htmlspecialchars( strip_tags( $zmienna ), ENT_QUOTES, 'UTF-8' );
?>
[PHP] pobierz, plaintext 

problem w tym że mam strone na iso-8859-2 , więc ten kod ma wyglądać w ten sposób??

[PHP] pobierz, plaintext 
<?php
$zmienna = htmlspecialchars( strip_tags( $zmienna ), ENT_QUOTES, 'iso-8859-2');
?>
[PHP] pobierz, plaintext 

czy może wstarczy napisać poprostu takie coś

[PHP] pobierz, plaintext 
<?php
$zmienna = htmlspecialchars( strip_tags( $zmienna ), ENT_QUOTES, 'iso');
?>
[PHP] pobierz, plaintext 

i czy takie coś uchroni mnie zarówno przed html jak i xss?

jeśli korzystasz z iso to ostatni parametr mozesz pominac, a co do xss to dorzuc do tego strip_tags i powinno byc ok

napisałem taką funkcje...

[PHP] pobierz, plaintext 
<?
function zabezpiecz($zmienna)
	{
	$zmienna = htmlspecialchars( strip_tags( $zmienna ), ENT_QUOTES);
	$zmienna = mysql_real_escape_string($zmienna);
	if( strpos( $zmienna, 'script' )) {exit;} 
	}
?>
[PHP] pobierz, plaintext 

czy jest ona poprawna?

ja używam tego:

[PHP] pobierz, plaintext 
<?php
function sqlesc ($content) {
  $content = (! get_magic_quotes_gpc ()) ? mysql_real_escape_string ($content) : $content;
  return $content;
}
?>
[PHP] pobierz, plaintext 

Czyli muszę do tego kodu dowalić htmlspecialchars" title="Zobacz w manualu PHP" target="_manual?

Jeśli nie zamierzasz tego nigdy wyświetlać na stronie, to nie. Jeśli zamierzasz, to jednak wypadałoby zabezpieczyć się przed xss.
Z tym że w przypadku magic quotes proponowałabym użyć stripslashes a następnie mysql_real_escape_string.

a do kogo ta odpowiedź
ja mam zabezpieczenie i przed xss htmlspecialchars i mysql_real_escape_stroing

Tego kodu używam do filtracji np w logowaniu w pobieraniu loginu, lub w zapytaniach ...WHERE `id`='".sqlesc($_POST['id'])."'); ....
Do takich celów starczy?

@peter13135
Do @robos85.
Swoją drogą uważam, że jeśli chcesz użyć mysql_real_escape_string nie ma sensu używać ENT_QUOTES w htmlspecialchars.

@robos85
Myślę, że do takiego czegoś starczy spokojnie.

a jeżeli chciałbym, aby ktoś dodawał mi do bazy tekst - i mógł zamieszczać tam znaczniki to taki kod wystarczy?

[PHP] pobierz, plaintext 
<?php
function sqlesc ($content) {
  $content = (! get_magic_quotes_gpc ()) ? mysql_real_escape_string (htmlspecialchars($content)) : $content;
  return $content;
}
?>
[PHP] pobierz, plaintext 

czy może w środku powinno być:

[PHP] pobierz, plaintext 
<?php
htmlspecialchars(mysql_real_escape_string ($content))
?>
[PHP] pobierz, plaintext 

?

w takim razie czy mogłbyś przerobić moją funckje??
bo niewiem jak powinna wyglądać

@robos85:

[PHP] pobierz, plaintext 
<?php
function sqlesc ($content) {
  $content = (! get_magic_quotes_gpc ()) ? mysql_real_escape_string ($content) : $content;
  return htmlspecialchars($content);
}
?>
[PHP] pobierz, plaintext 

Przy magic_quotes też trzeba się zabepieczyc przed XSS.


@peter13135: Funkcja jest OK, ale sądzę, że nie ma sensu łączyć strip_tags() z htmlspecialchars() (w typ przypadpku), jako, że drugie zamienia tobie tagi <> na HTMLowe encje (? zwał jak zwał) i są wtedy one wyświetlane w formie tekstowej (tak jak na tym forum), więc żadne XSS nie ma wtedy prawa bytu.
strip_tags() używaj, jeśli chcesz usuwać tagi z wprowadzanego tekstu, zamiast je wyświetlać z htmlspecialchars(). Plus, dla strip_tags() możesz podać listę 'dozwolonych' tagów, np. <b>, <i> oraz <u> są dobrymi przykładami nieszkodliwych tagów.

Przykład:
Wysyłam komentarz o treści <script>alert('Shackowałem cię!');</script>
htmlspecialchars("<script>alert('Shackowałem cię!');</script>"); wyświetli <script>alert('Shackowałem cię!');</script>
strip_tags("<script>alert('Shackowałem cię!');</script>"); wyświetli alert('Shackowałem cię!');
Oba są niegroźne, ale wynik różny, prawda?

ymm, tak patrze na swój kod i widze coś takiego
[php]$zarejestruj=$_POST['zarejestruj'];
$login = htmlspecialchars($_POST['login']);
$haslo = htmlspecialchars($_POST['haslo']);
$email = htmlspecialchars($_POST['email']);
$gg = htmlspecialchars($_POST['gg']);
$www = htmlspecialchars($_POST['www']);
$skad = htmlspecialchars($_POST['skad']);
$zainteresowania = htmlspecialchars($_POST['zainteresowania']);
$plec = htmlspecialchars($_POST['plec']);
[/php

a czy niewystarzy dać htmlspecialchars($_POST) ?
(dodam że teraz to ja będe je filtrował swoją funkcją zabezpiecz(), ale mniejsza z tym)

Nie, bo $_POST to tablica, a nie ciąg znaków.

Ale możesz zrobić coś podobnego przy zastosowaniu array_map http://pl.php.net/manual/pl/function.array-map.php

A co z kolejnością 2ch funkcji - pisałem tutaj - która dobra?

1. zrezygnuj ze sprawdzania get_magic_quotes_gpc
2. mysql_real_escape_string (htmlspecialchars($content))

czyli funkcja:

[PHP] pobierz, plaintext 
<?php
function sqlesc ($content) {
  $content=mysql_real_escape_string(strip_tags($content));
return $content;
}
?>
[PHP] pobierz, plaintext 

Będzie odpowiednia do dodania nowego użytkownika czy dodania komentarza?

dodaj htmlspecialchars i bedzie ok

A czy strip_tags" title="Zobacz w manualu PHP" target="_manual nie usuwa całkowicie znaków html? Jeżeli tak, to po co tam jeszcze htmlspecialchars" title="Zobacz w manualu PHP" target="_manual?
Bo z twego co wiem, to 2gie tylko zamienia na encje - a ja nie chcę wogóle mieć znaków html
Więc albo strip_tags albo htmlspecialchars dawać - moim zdaniem oczywiście;]

usuwa htmlspecialchars ma za zadanie pozbycie sie ' i " i "czystem formie" glownie zeby inputow nie rozwalalo

[PHP] pobierz, plaintext 
<?php
$content=mysql_real_escape_string(htmlspecialchars(strip_tags($content)));
?>
[PHP] pobierz, plaintext 

I tak będzie już ok?

powinno byc