[MySQL][PHP]filtrowanie daqnych z formularza Opcje

[Th0e]

Witam. Oto przykładowy formularz:

[HTML] pobierz, plaintext 
<form method="POST">
<input type="text" name="tekst">
<input type="submit" value="wyślij">
</form>
[HTML] pobierz, plaintext 

[PHP] pobierz, plaintext 
if(isset($_POST['tekst']))
{
$tekst = $_POST['tekst'];
mysql_query("INSERT INTO `tabela` (tekst) VALUES('$tekst')") or die("Błąd.");
header("Location: ?wyslano=tekst");
}
[PHP] pobierz, plaintext 

I tutaj moje pytanie. Jak zabezpieczać formularze, żeby użytkownicy nie mogli używać html, php, mysql i innych wariatów poprzez formularz? Żeby nie możliwe były ataki SQL itp. co zagraża stronie? Czy wystarczy htmlspecialchars i addslashes? A może jakaś inna funkcja? Proszę o pomoc.

[gentleman]

jesrt takie cos jak eregi
albo (chyba)
$tekst = stripslashes($_POST['tekst']);


Ten post edytował gentleman 18.05.2013, 11:16:48

[Th0e]

jesrt takie cos jak eregi
albo (chyba)
$tekst = stripslashes($_POST['tekst']);

A da ktoś jakieś przykłady jak to zastosować (eregi)? PHP Manual to dla mnie jak turecki

co do stripslashes to jak usuwanie \ z ciągów znaków ma pomóc?

Ten post edytował Th0e 18.05.2013, 11:21:07

[gentleman]

Kod

if (ereg ("^[a-zA-z0-9]$", $text)) {

// ok

} else {

//niedozwolone znaki

}

mam nadzieje ze dobrze to zrobilem
możesz też zrobić przedzial np od 3 do 16

Kod

if (ereg ("^[a-zA-z0-9]{3,16}$", $text)) {
...
}

lub nawet do emaila że musi być testCyfry@textCyfry.tekst

Ten post edytował gentleman 18.05.2013, 11:32:54

[Th0e]

Dzięki Ale jeśli robię skrypt postów i chciałbym żeby użytkownicy mogli pisać wszystkie znaki typu <>/!@#$%^&*()., ale żeby jeśli będzie w stringu <h1>text</h1> to żeby nie wyświetlało powiększonego 'text' tylko po prostu '<h1>tekst</h1>' to jest na to jakiś sposób?

[gentleman]

Kod

sam za bardzo nie wiem jak to zrobić (też by mi sie przydało ) ale musielibysmy chyba sciagnac bbcodes i jakby ktoś chciał np pogrubić tekst to musialby >> [b] text pogrubiony[/b] a nie <b>...</b> i wtedy html nie dziala czy php

[Th0e]

Kod

sam za bardzo nie wiem jak to zrobić (też by mi sie przydało ) ale musielibysmy chyba sciagnac bbcodes i jakby ktoś chciał np pogrubić tekst to musialby >> [b] text pogrubiony[/b] a nie <b>...</b> i wtedy html nie dziala czy php

też właśnie o tym myślałem, tylko jak -,-

[lobopol]

ereg jest depracated

[Th0e]

to wie ktoś?

[_Borys_]

...jeśli będzie w stringu <h1>text</h1> to żeby nie wyświetlało powiększonego 'text' tylko po prostu '<h1>tekst</h1>' to jest na to jakiś sposób?

Przy wyświetlaniu używaj w php htmlspecialchars() albo htmlentities().
Albo w html jest <pre></pre>.
Co do wyrażeń regularnych to PCRE Functions
O zabezpieczeniu danych z formularzy jest mnóstwo tematów zarówno tu jak i w necie, poszukaj poczytaj.

[Th0e]

Przy wyświetlaniu używaj w php htmlspecialchars() albo htmlentities().
Albo w html jest <pre></pre>.
Co do wyrażeń regularnych to PCRE Functions
O zabezpieczeniu danych z formularzy jest mnóstwo tematów zarówno tu jak i w necie, poszukaj poczytaj.

dzięki. htmlspecialchars działa zarówno na html jak i na php z tego co zauważyłem.

Ale mam jeszcze jedno pytanie. Jak zrobić że gdy użytkownik piszący posta, który w polu <text area> da np. w pewnym miejscu 2 entery, to żeby potem pokazywało tego posta z owymi odstępami? Normalnie nie będzie odstępów między wierszami, tylko spacja.

[Sobak]

Chodzi Ci może o nl2br?

[Th0e]

Chodzi Ci może o nl2br?

dzięki o to chodziło !

a jak zrobić by wyszukiwało z stringu np. [b] - bo chciałbym zrobić własne BB code na stronie skoro nikt nie wie jak je wgrać

Ten post edytował Th0e 19.05.2013, 10:02:14

[lobopol]

Odpowiedni preg_replace, znajdziesz setki gotowych klas w internecie google->php bbcode

Ten post edytował lobopol 19.05.2013, 11:30:31