Pomoc - Szukaj - Użytkownicy - Kalendarz
Pełna wersja: [MySQL][PHP]Filtrowanie danych w PHP i ich weświetlanie
Forum PHP.pl > Forum > Przedszkole
northwest
12.02.2011, 11:39:41
Witam serdecznie,
naczytałem się ostatnio o bezpieczeństwie skryptów PHP i możliwościach ataku na mysql.

Chce się zabezpieczyć przed różnego rodzaju atakami wprowadzając takie zabezpieczenie:
Kod
    function baza_zapis($string)    ////// zapis do bazy
        {
            $string = trim(htmlspecialchars(addslashes($string), ENT_QUOTES));
            return $string;
        }

    function baza_odczyt($string)    /////// odczyt z bazy
        {
            $string = htmlspecialchars_decode(stripslashes($string));
            return $string;
        }


Myślicie że to wystarczy (do zapisu/odczytu z bazy)?

Rozwiązanie to ma 1 wadę. Po wpisaniu w inputa znaku: " zapisze się w bazie:" - więc ok.
Ale jak wyświetlam to w inpucie, to nie widać tych znaczków w przeglądarce sad.gif dopiero w źródle widać:
value ="""""""""""&quot" - macie może jakiś sposób na to?


Northwest
Ulysess
12.02.2011, 11:51:40
przy zapisie nie uzywasz htmlspecialchars bo po co (chyba że je drukujesz). zamiast addslashes użyj mysql_real_escape_string.
przy wyświetlaniu użyj htmlspecialchars
erix
12.02.2011, 12:30:33
Temat: Bezpieczenstwo skryptow PHP
Temat: SQL Injection Insertion

Czy wyszukiwarka gryzie? Może o czymś nie wiem?
To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę kliknij tutaj.
Invision Power Board © 2001-2025 Invision Power Services, Inc.