Pomoc - Szukaj - Użytkownicy - Kalendarz
Pełna wersja: Filtracja danych
Forum PHP.pl > Forum > PHP
morphi99
14.09.2008, 09:10:06
Witam
Mam pytanie czy dane wysłane z formularza i przefiltrowane poniższą funkcją będą bezpieczne i nie zagrożą skryptowi przy próbach ataku ?

Kod
<?php
function filtr($var)
{
  $var = addslashes($var);
  $var = strip_tags($var);
  return $var;
}
?>
pyro
14.09.2008, 09:21:53
Cytat(morphi99 @ 14.09.2008, 10:10:06 ) *
Witam
Mam pytanie czy dane wysłane z formularza i przefiltrowane poniższą funkcją będą bezpieczne i nie zagrożą skryptowi przy próbach ataku ?

Kod
<?php
function filtr($var)
{
   $var = addslashes($var);
   $var = strip_tags($var);
   return $var;
}
?>


generalnie może:

jak uzywasz mysql to stosuj funkcje mysql_escape_string, dane od uzytkownika ktore maja byc liczba filtruj rzutując typ.
morphi99
14.09.2008, 09:43:58
Mógłbyś dać przykład ?
pyro
14.09.2008, 18:06:20 
[PHP] pobierz, plaintext 
  1. <?php
  2. function filtr($var)
  3. { 
  4.   $var = mysql_escape_string($var); 
  5.   $var = strip_tags($var); 
  6.   return $var; 
  7. }
  8.  
  9. // dane numeryczne
  10.  
  11. $_GET['cos'] = (int)$_GET['cos'];
  12. ?>
[PHP] pobierz, plaintext
akurczyk
14.09.2008, 18:28:26
mysql_escape_string nie na wszystkich serwerach jest dostepne. polecam samo addslashes
elmozaur
14.09.2008, 19:43:28
ja do czegos takiego dodaje jeszcze funkcje slownik.
w slowniku wpisuje = or ' ! . i inne slowa ktorych pojawienie sie w formularzu spowoduje ostrzezenie usera
pyro
14.09.2008, 19:46:49
Cytat(akurczyk @ 14.09.2008, 19:28:26 ) *
mysql_escape_string nie na wszystkich serwerach jest dostepne. polecam samo addslashes


w takim razie nie polecaj czegos co niee zapewnia 100% bezpieczenstwa
To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę kliknij tutaj.
Invision Power Board © 2001-2025 Invision Power Services, Inc.