Witam.
Mam baze danych, w niej powiedzmy 2 pola, ID(int), i NEWS(text).
Do tego mam formularz, a w nim textarea.
Użytkownik może dodac newsa z możliwością HTMLa, czyli może każdy znak wysłać.
Teraz jest tu problem z bezpieczeństwem. Jak przefiltrować tego newsa zeby przy dodaniu go do bazy, nie było możliwości żadnego ataku SQLInjection itp. Addslashes? Jak to się ma do wyświetlenia potem tego w bazie? Podkreślam że każdy znak może być wpisany, a potem ma być wyświetlane również jako html. Czyli jak ktoś wpisze <a href=""></a> to wyswietli mu normalnie linka. Nie bedzie za dużo dziwnych nowych znaczków dodawanych przy zapisywaniu do bazy.
Pełna wersja: [PHP][MYSQL]Bespieczeństwo przesyłąnia danych.
mysql_real_escape_string()" title="Zobacz w manualu PHP" target="_manual
a tak z ciekawości , co z js? każdy user może go dodać
a tak z ciekawości , co z js? każdy user może go dodać
A co z mysql_escape_string() oraz addslashes() ? Nie polecacie?
z dokumentacji
co do addslashes to mozna to stosowac jak nie mozna uzyc mysql_real_escape_string
dodatkowo mozesz sobie poczytac troche : http://pl2.php.net/manual/en/security.data...l-injection.php
Cytat
This function became deprecated, do not use this function. Instead, use mysql_real_escape_string().
co do addslashes to mozna to stosowac jak nie mozna uzyc mysql_real_escape_string
dodatkowo mozesz sobie poczytac troche : http://pl2.php.net/manual/en/security.data...l-injection.php
Można też zastosować PDO:
Cytat
Example #3 Fetching data using prepared statements
This example fetches data based on a key value supplied by a form. The user input is automatically quoted, so there is no risk of a SQL injection attack.
This example fetches data based on a key value supplied by a form. The user input is automatically quoted, so there is no risk of a SQL injection attack.
To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę kliknij tutaj.