Forum PHP.pl > [MySQL][PHP]filtrowanie daqnych z formularza

Pomoc - Szukaj - Użytkownicy - Kalendarz

Pełna wersja: [MySQL][PHP]filtrowanie daqnych z formularza

Th0e

18.05.2013, 10:57:19

Witam. Oto przykładowy formularz:

[HTML] pobierz, plaintext 
<form method="POST">
<input type="text" name="tekst">
<input type="submit" value="wyślij">
</form>
[HTML] pobierz, plaintext

[PHP] pobierz, plaintext 
if(isset($_POST['tekst']))
{
$tekst = $_POST['tekst'];
mysql_query("INSERT INTO `tabela` (tekst) VALUES('$tekst')") or die("Błąd.");
header("Location: ?wyslano=tekst");
}
[PHP] pobierz, plaintext

I tutaj moje pytanie. Jak zabezpieczać formularze, żeby użytkownicy nie mogli używać html, php, mysql i innych wariatów poprzez formularz? Żeby nie możliwe były ataki SQL itp. co zagraża stronie? Czy wystarczy htmlspecialchars i addslashes? A może jakaś inna funkcja? Proszę o pomoc.

gentleman

18.05.2013, 11:15:02

jesrt takie cos jak eregi
albo (chyba)
$tekst = stripslashes($_POST['tekst']);

Th0e

18.05.2013, 11:18:34

Cytat(gentleman @ 18.05.2013, 12:15:02 )

jesrt takie cos jak eregi
albo (chyba)
$tekst = stripslashes($_POST['tekst']);

A da ktoś jakieś przykłady jak to zastosować (eregi)? PHP Manual to dla mnie jak turecki

co do stripslashes to jak usuwanie \ z ciągów znaków ma pomóc?

gentleman

18.05.2013, 11:28:39

Kod

if (ereg ("^[a-zA-z0-9]$", $text)) {

// ok

} else {

//niedozwolone znaki

}

mam nadzieje ze dobrze to zrobilem
możesz też zrobić przedzial np od 3 do 16

Kod

if (ereg ("^[a-zA-z0-9]{3,16}$", $text)) {
...
}

lub nawet do emaila że musi być testCyfry@textCyfry.tekst

Th0e

18.05.2013, 11:32:28

Dzięki

Ale jeśli robię skrypt postów i chciałbym żeby użytkownicy mogli pisać wszystkie znaki typu <>/!@#$%^&*()., ale żeby jeśli będzie w stringu <h1>text</h1> to żeby nie wyświetlało powiększonego 'text' tylko po prostu '<h1>tekst</h1>' to jest na to jakiś sposób?

gentleman

18.05.2013, 11:37:33

Kod

sam za bardzo nie wiem jak to zrobić (też by mi sie przydało ) ale musielibysmy chyba sciagnac bbcodes i jakby ktoś chciał np pogrubić tekst to musialby >> [b] text pogrubiony[/b] a nie <b>...</b> i wtedy html nie dziala czy php

Th0e

18.05.2013, 11:39:33

Cytat(gentleman @ 18.05.2013, 12:37:33 )

Kod

też właśnie o tym myślałem, tylko jak -,-

lobopol

18.05.2013, 12:43:13

ereg jest depracated

Th0e

18.05.2013, 18:27:15

to wie ktoś?

_Borys_

18.05.2013, 19:11:32

Cytat(Th0e @ 18.05.2013, 12:32:28 )

...jeśli będzie w stringu <h1>text</h1> to żeby nie wyświetlało powiększonego 'text' tylko po prostu '<h1>tekst</h1>' to jest na to jakiś sposób?

Przy wyświetlaniu używaj w php htmlspecialchars() albo htmlentities().
Albo w html jest <pre></pre>.
Co do wyrażeń regularnych to PCRE Functions
O zabezpieczeniu danych z formularzy jest mnóstwo tematów zarówno tu jak i w necie, poszukaj poczytaj.

Th0e

19.05.2013, 09:03:46

Cytat(_Borys_ @ 18.05.2013, 20:11:32 )

dzięki. htmlspecialchars działa zarówno na html jak i na php z tego co zauważyłem.

Ale mam jeszcze jedno pytanie. Jak zrobić że gdy użytkownik piszący posta, który w polu <text area> da np. w pewnym miejscu 2 entery, to żeby potem pokazywało tego posta z owymi odstępami? Normalnie nie będzie odstępów między wierszami, tylko spacja.

Sobak

19.05.2013, 09:17:16

Chodzi Ci może o nl2br?

Th0e

19.05.2013, 09:59:27

Cytat(Sobak @ 19.05.2013, 10:17:16 )

Chodzi Ci może o nl2br?

dzięki o to chodziło !

a jak zrobić by wyszukiwało z stringu np. [b] - bo chciałbym zrobić własne BB code na stronie skoro nikt nie wie jak je wgrać

lobopol

19.05.2013, 11:30:00

Odpowiedni preg_replace, znajdziesz setki gotowych klas w internecie google->php bbcode

To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę kliknij tutaj.