Pomoc - Szukaj - Użytkownicy - Kalendarz
Pełna wersja: [PHP]Zabezpieczenie $_POST i $_GET
Forum PHP.pl > Forum > Przedszkole
patryk9200
24.07.2009, 19:08:37
Cześć,
Da może się zrobić tak żeby każdą tablicę w skrypcie bez wyjątku $_GET lub $_POST był "oczyszczony" z wszelakiego kodu PHP i zapytań MySQL ?
Tylko zależy mi na tym żeby $_POST html można było przesyłać...
Jak takie coś zrobić?
Pawel_W
24.07.2009, 19:10:19
mysql_real_escape_string" title="Zobacz w manualu PHP" target="_manual i strip_tags" title="Zobacz w manualu PHP" target="_manual

mogłem przekręcić nazwy winksmiley.jpg

EDIT: jeżeli chodzi o przesyłanie kodu html to strip_tags odpada, musisz sobie napisać własną funkcję, albo jako drugi parametr funkcji podać wszystkie wyjątki
patryk9200
24.07.2009, 19:19:11
tylko mi chodzi i to żeby odrazu jak zastosuję gdzieś w kodzie np. $_GET[] to już było oczyszczone wywołując tylko raz odpowiedni skrypt na początku strony...
Pawel_W
24.07.2009, 19:33:47 
[PHP] pobierz, plaintext 
  1. <?php
  2. foreach($_GET as $klucz => $wartosc)
  3.  $_GET[$klucz] = strip_tags($_GET[$klucz])
  4. ?>
[PHP] pobierz, plaintext


tak samo dla $_POST
erix
24.07.2009, 21:22:57
array_walk" title="Zobacz w manualu PHP" target="_manual... dry.gif
Fifi209
24.07.2009, 21:25:07
Cytat(Pawel_W @ 24.07.2009, 19:10:19 ) *
mysql_real_escape_string" title="Zobacz w manualu PHP" target="_manual i strip_tags" title="Zobacz w manualu PHP" target="_manual

mogłem przekręcić nazwy winksmiley.jpg

EDIT: jeżeli chodzi o przesyłanie kodu html to strip_tags odpada, musisz sobie napisać własną funkcję, albo jako drugi parametr funkcji podać wszystkie wyjątki


To już chyba prościej włączyć magic_quotes
erix
24.07.2009, 21:28:24
Też o tym samym pomyślałem, ale w PHP6 tego nie będzie, AFAIK.
tomekpl
25.07.2009, 02:32:31 
[PHP] pobierz, plaintext 
  1. <?php
  2. $arrArguments = array();
  3.  
  4.     $intArgumentIndex = 0;
  5.  
  6.     function parseArgument($arrMatches) {
  7.  
  8.         global $arrArguments, $intArgumentIndex;
  9.  
  10.         $strMatch = $arrMatches[0];
  11.  
  12.         $strArgument = @$arrArguments[$intArgumentIndex++];
  13.  
  14.         switch ($strMatch) {
  15.  
  16.             case '%d': return (int)$strArgument;
  17.  
  18.             case '%s': return '"'.
  19.  
  20.               mysql_real_escape_string($strArgument).'"';
  21.  
  22.             case '%b': return (int)((bool)$strArgument);
  23.  
  24.         }    
  25.  
  26.     }
  27.  
  28.     function SQL($strSql) {
  29.  
  30.         global $arrArguments, $intArgumentIndex;
  31.  
  32.         $arrArgs = func_get_args();
  33.  
  34.         array_shift($arrArgs);
  35.  
  36.         $arrArguments = $arrArgs;
  37.  
  38.         $intArgumentIndex = 0;
  39.  
  40.         return preg_replace_callback('/(%[dsb])/', 'parseArgument',
  41.  
  42.           $strSql);    
  43.  
  44.     }
  45. ?>
[PHP] pobierz, plaintext



smile.gif
A jak masz GET to prawie zawsze przesyłasz tam jakieś wartości liczbowe
$zmienna=intval($_GET['jakasget'])

przepusci tylko liczby
To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę kliknij tutaj.
Invision Power Board © 2001-2025 Invision Power Services, Inc.