Witam,
W panelu administracyjnym dodaję treść za pomocą formularza addslashes($_POST['opis_pelny']) dla bezpieczeństwa, ale później dane wyświetlane
są w postaci wiadomo podwajanych \\ jeśli są w opisie " '
Czy są jakieś inne funkcje, które uchronią przed sql injection, a nie będą później te dane wyświetlane z backslash, chyba, że w panelu administracyjnym nie potrzebnie stosować tej metody?
Pełna wersja: [PHP] addslashes()
potem robisz stripslashes() przed wyświetleniem danych.
dzięki, ale w bazie danych każda edycja artykułu powoduje ciągle podwajanie \\\\\\ bo w formularza większość dodaje kod HTML
później wygląda tak
<div id=\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\"
i cała reszta kodu, a to jeśli jest dużo artykułów to później te "śmieci" zajmują więcej na serwerze
później wygląda tak
<div id=\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\"
i cała reszta kodu, a to jeśli jest dużo artykułów to później te "śmieci" zajmują więcej na serwerze
teraz sprawdzałem, ale niestety dalej dodaje do bazy danych backslash bo w kodzie HTML pełno mamy "
ale i nie tylko bo czasem też sam muszę używać " '
Edit: dodam, że kod HTML jest wprowadzany w textarea i dalej nie wiem, które zabezpieczenie zastosować, aby nie miałem backslash jeśli w tym kodzie znajduje się cudzysłów etc.
ale i nie tylko bo czasem też sam muszę używać " '
Edit: dodam, że kod HTML jest wprowadzany w textarea i dalej nie wiem, które zabezpieczenie zastosować, aby nie miałem backslash jeśli w tym kodzie znajduje się cudzysłów etc.
;-)
czyli teraz tak robię to pierwsze dodaję tam gdzie czytam z bazy danych, a drugie w miejsce gdzie jest formularz, który dodaje do bazy? ;-)
Cytat(antoniak @ 2.08.2009, 14:00:49 ) 
czyli teraz tak robię to pierwsze dodaję tam gdzie czytam z bazy danych, a drugie w miejsce gdzie jest formularz, który dodaje do bazy? ;-)
Tutaj 'kodujesz' dane, które będziesz umieszczał w bazie.
Tutaj 'dekodujesz' dane, które będziesz pobierał z bazy i wyświetlał na stronie.
zrobiłem tak
function str_replace($teskt) {
$teskt = str_replace('<cudzysłów>', '\'', $teskt);
}
.................
i gdzie pobieram dane z bazy
$db->query("SELECT `id`, `xx`, '<cudzysłów> . str_replace(opis_pelny) . <cudzysłów>', `typ`,
i na stronie mam błąd
Warning: Wrong parameter count for str_replace() in właśnie w tej linijce, gdzie zaznaczam dane z bazy
function str_replace($teskt) {
$teskt = str_replace('<cudzysłów>', '\'', $teskt);
}
.................
i gdzie pobieram dane z bazy
$db->query("SELECT `id`, `xx`, '<cudzysłów> . str_replace(opis_pelny) . <cudzysłów>', `typ`,
i na stronie mam błąd
Warning: Wrong parameter count for str_replace() in właśnie w tej linijce, gdzie zaznaczam dane z bazy
Cytat(antoniak @ 2.08.2009, 16:04:57 )
zrobiłem tak
function str_replace($teskt) {
$teskt = str_replace('"', '\'', $teskt);
}
.................
i gdzie pobieram dane z bazy
$db->query("SELECT `id`, `xx`, `'" . str_replace(opis_pelny) . "'`, `typ`,
i na stronie mam błąd
Warning: Wrong parameter count for str_replace() in właśnie w tej linijce, gdzie zaznaczam dane z bazy
function str_replace($teskt) {
$teskt = str_replace('"', '\'', $teskt);
}
.................
i gdzie pobieram dane z bazy
$db->query("SELECT `id`, `xx`, `'" . str_replace(opis_pelny) . "'`, `typ`,
i na stronie mam błąd
Warning: Wrong parameter count for str_replace() in właśnie w tej linijce, gdzie zaznaczam dane z bazy
Nie można tworzyć funkcji o nazwie istniejącej funkcji ;-)
;-) No ale nie wiem czy Ci to pomoże. W bazie zamiast ' będziesz miał <apostrof> ;-) ;-)
To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę kliknij tutaj.