Witaj Gościu! ( Zaloguj | Rejestruj )

Forum PHP.pl

> Walidacja danych.
-arrtxp-
post
Post #1





Goście
Witam,
otóż, że jestem początkujący i piszę strukturalnie.
Mam pytanie:

[PHP] pobierz, plaintext 
  1. 	function spr_text($text){ 	
  2. 		if(!empty($text)){
  3. 			$search = array('@<script[^>]*?>.*?</script>@si', '@<[\/\!]*?[^<>]*?>@si', '@<style[^>]*?>.*?</style>@siU', '@<![\s\S]*?--[ \t\n\r]*>@' ); 
  4. 			$text = preg_replace($search, '', $text);
  5. 		}
  6. 		return $text = mysql_real_escape_string(nl2br(trim($text))); 
  7. 	}
[PHP] pobierz, plaintext


Czy taka funkcja zabezpieczy przez Atak SQL Injection itp ?

Ten post edytował arrtxp 20.05.2013, 22:30:55
Go to the top of the page
+Quote Post
 
 Start new topic
Odpowiedzi
com
post
Post #2





Grupa: Zarejestrowani
Postów: 3 034
Pomógł: 366
Dołączył: 24.05.2012

Ostrzeżenie: (0%)
-----

ale gdzie wrzucisz ten skrypcik, tak jak powiedziałem XSS, a SQL Injection to dwie zupełnie inne kwestie, XSS polega min na wyciaganiu od usera sida sesji potrzebnego do dalszych manipulacji, a SQL Injection to nic innego jak manipulacja zawartoscia bazy danych, niekoniecznie majac do niej jawny dostęp... Tak jak powiedziałęm zapoznasz się z PDO i tam jest mase mechanizmów "ochronnych" których w pochodnych mysqlX nie ma i nie było, dzieki temu nie trzeba sie bawić w pisanie czegos takiego, bo to sie okazuje być zbedne (IMG:style_emoticons/default/wink.gif) a pozatym usuwanie encji z podciagu obsługuje jedna funkcja htmlentities()...

Ten post edytował com 20.05.2013, 22:51:27
Go to the top of the page
+Quote Post

Posty w temacie
- arrtxp   Walidacja danych.   20.05.2013, 22:16:03
- - com   Ja tu raczej widzę przeszukiwanie pod kontem XSS ...   20.05.2013, 22:27:52
- - arrtxp   Ta... to teraz zastanów się jak atak SQL Injection...   20.05.2013, 22:30:24
- - com   Ja mam się zastnawiać?! no ja chyba wiem, powi...   20.05.2013, 22:36:32
- - arrtxp   Hym, jeżeli wykonam update i wrzuce sobie tam włas...   20.05.2013, 22:40:41
- - com   ale gdzie wrzucisz ten skrypcik, tak jak powiedzia...   20.05.2013, 22:49:22
- - arrtxp   SQL Injection przeprowadza się poprzez ?   20.05.2013, 22:53:32
- - !*!   Cytat(arrtxp @ 20.05.2013, 23:16:03 )...   20.05.2013, 22:55:28
- - arrtxp   No tak... i np: w polu input lub w w formularzu ww...   20.05.2013, 23:00:11
- - !*!   Jaką składnie i czemu zapobiega, sql injection? Ni...   20.05.2013, 23:01:37
- - com   Jescze raz powiem to sie zwie atakiem XSS http://h...   20.05.2013, 23:02:48
- - arrtxp   Skrypt usuwa znaki typu: " ' ", za p...   20.05.2013, 23:11:50
|- - !*!   Cytat(arrtxp @ 21.05.2013, 00:11:50 )...   20.05.2013, 23:17:01
- - Mackos   Jeśli chcesz zabezpieczyć swoje zapytania do bazy ...   20.05.2013, 23:20:24
- - arrtxp   No dobra... ale " ; " też nie przepuszcz...   20.05.2013, 23:23:34
- - com   CytatSkrypt usuwa znaki typu: " ' ",...   20.05.2013, 23:24:12
- - arrtxp   " ; " nie przepuszcza ...   20.05.2013, 23:27:45
- - !*!   Nie wiem jak Ty to sprawdzasz, ale ja tam w funkcj...   20.05.2013, 23:33:39
- - com   Tak jak napisał !*! dalsza dywagacja na te...   20.05.2013, 23:36:28
- - arrtxp   Y? podaj mi co wklepujesz.   20.05.2013, 23:37:10
- - com   Podsumowując to jest wręcz zabawne, zmobilizowałem...   21.05.2013, 00:09:07
- - arrtxp   Ok, dzięki.   21.05.2013, 00:11:57

« Następny starszy · PHP · Następny nowszy »
 

Reply to this topicStart new topic
3 Użytkowników czyta ten temat (3 Gości i 0 Anonimowych użytkowników)
0 Zarejestrowanych:

 

Tryb wyświetlania: Przełącz na: Standardowy · Przełącz na: Linearny+ · Drzewo

Śledź ten temat · Wyślij temat na e-mail · Wydrukuj ten temat · Subskrybuj to forum

RSS Aktualny czas: 7.10.2025 - 04:10
Powered By IP.Board © 2025  IPS, Inc.
All changes by PHP.pl Administrators
Hosting zapewnia NQ.pl hosting, trac, svn