Witaj Gościu! ( Zaloguj | Rejestruj )

Forum PHP.pl

> Filtracja danych
morphi99
post
Post #1





Grupa: Zarejestrowani
Postów: 12
Pomógł: 2
Dołączył: 16.02.2008

Ostrzeżenie: (0%)
-----

Witam
Mam pytanie czy dane wysłane z formularza i przefiltrowane poniższą funkcją będą bezpieczne i nie zagrożą skryptowi przy próbach ataku ?

Kod
<?php
function filtr($var)
{
  $var = addslashes($var);
  $var = strip_tags($var);
  return $var;
}
?>
Go to the top of the page
+Quote Post
 
 Start new topic
Odpowiedzi (1 - 6)
pyro
post
Post #2





Grupa: Zarejestrowani
Postów: 2 148
Pomógł: 230
Dołączył: 26.03.2008

Ostrzeżenie: (0%)
-----

Cytat(morphi99 @ 14.09.2008, 10:10:06 ) *
Witam
Mam pytanie czy dane wysłane z formularza i przefiltrowane poniższą funkcją będą bezpieczne i nie zagrożą skryptowi przy próbach ataku ?

Kod
<?php
function filtr($var)
{
   $var = addslashes($var);
   $var = strip_tags($var);
   return $var;
}
?>


generalnie może:

jak uzywasz mysql to stosuj funkcje mysql_escape_string, dane od uzytkownika ktore maja byc liczba filtruj rzutując typ.
Go to the top of the page
+Quote Post
morphi99
post
Post #3





Grupa: Zarejestrowani
Postów: 12
Pomógł: 2
Dołączył: 16.02.2008

Ostrzeżenie: (0%)
-----

Mógłbyś dać przykład ?
Go to the top of the page
+Quote Post
pyro
post
Post #4





Grupa: Zarejestrowani
Postów: 2 148
Pomógł: 230
Dołączył: 26.03.2008

Ostrzeżenie: (0%)
----- 

[PHP] pobierz, plaintext 
  1. <?php
  2. function filtr($var)
  3. { 
  4.   $var = mysql_escape_string($var); 
  5.   $var = strip_tags($var); 
  6.   return $var; 
  7. }
  8.  
  9. // dane numeryczne
  10.  
  11. $_GET['cos'] = (int)$_GET['cos'];
  12. ?>
[PHP] pobierz, plaintext
Go to the top of the page
+Quote Post
akurczyk
post
Post #5





Grupa: Zarejestrowani
Postów: 201
Pomógł: 5
Dołączył: 15.07.2008
Skąd: Kłodzko

Ostrzeżenie: (10%)
X----

mysql_escape_string nie na wszystkich serwerach jest dostepne. polecam samo addslashes
Go to the top of the page
+Quote Post
elmozaur
post
Post #6





Grupa: Zarejestrowani
Postów: 518
Pomógł: 18
Dołączył: 21.07.2008

Ostrzeżenie: (0%)
-----

ja do czegos takiego dodaje jeszcze funkcje slownik.
w slowniku wpisuje = or ' ! . i inne slowa ktorych pojawienie sie w formularzu spowoduje ostrzezenie usera
Go to the top of the page
+Quote Post
pyro
post
Post #7





Grupa: Zarejestrowani
Postów: 2 148
Pomógł: 230
Dołączył: 26.03.2008

Ostrzeżenie: (0%)
-----

Cytat(akurczyk @ 14.09.2008, 19:28:26 ) *
mysql_escape_string nie na wszystkich serwerach jest dostepne. polecam samo addslashes


w takim razie nie polecaj czegos co niee zapewnia 100% bezpieczenstwa
Go to the top of the page
+Quote Post
« Następny starszy · PHP · Następny nowszy »
 

Reply to this topicStart new topic
2 Użytkowników czyta ten temat (2 Gości i 0 Anonimowych użytkowników)
0 Zarejestrowanych:

 

Tryb wyświetlania: Przełącz na: Standardowy · Linearny+ · Przełącz na: Drzewo

Śledź ten temat · Wyślij temat na e-mail · Wydrukuj ten temat · Subskrybuj to forum

RSS Aktualny czas: 24.08.2025 - 07:07
Powered By IP.Board © 2025  IPS, Inc.
All changes by PHP.pl Administrators
Hosting zapewnia NQ.pl hosting, trac, svn