Pomoc - Szukaj - Użytkownicy - Kalendarz
Pełna wersja: [PHP][MySQL]Filtrowanie danych.
Forum PHP.pl > Forum > Przedszkole
Gruchol
9.02.2016, 23:25:46
Witam,
Jak zabezpieczyć dane wkładane do bazy? Chodzi mi tutaj czy addslashes lub mysqli_real_escape_string zabezpieczy przed tym aby w nazwach użytkowników po pobraniu ich z bazy i wyświetleniu nie pojawiało się np. <b> lub alerty z javascriptu?
Pozdrawiam.
com
9.02.2016, 23:40:38
nie to przed niczym nie zabezpieczy, zapomnij o tym, użyj binda. A do xss htmlspecialchars
Gruchol
10.02.2016, 18:32:59
Próbuje to zrobić tak: 
[PHP] pobierz, plaintext 
  1. $query = sprintf("INSERT INTO USERS VALUES(NULL, '%s', '%s', '%s', '$ip', '%s', '', '', '$date', '$password')", 
  2. 		mysqli_real_escape_string($email, $db),
  3. 		mysqli_real_escape_string($name, $db),
  4. 		mysqli_real_escape_string($sn, $db),
  5. 		mysqli_real_escape_string($cl, $db)
  6. 		);
[PHP] pobierz, plaintext

jednak coś tutaj jest nie tak, pokazuje mysqli_real_escape_string() expects parameter 1 to be mysqli, string given w 4 razy.

Czy zmienne przed wsadzeniem do mysqli_real_escape_string mogą być dodatkowo przepuszczone przez htmlspecialchars?
Z góry dzięki.
nospor
10.02.2016, 22:12:36
Komunikat bledu wyraznie ci mowi co masz zle
Manual jak wol pokazuje co ma byc pierwszym parametrem
http://php.net/manual/en/mysqli.real-escape-string.php
Cytat
string mysqli_real_escape_string ( mysqli $link , string $escapestr )


To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę kliknij tutaj.
Invision Power Board © 2001-2025 Invision Power Services, Inc.