Witaj Gościu! ( Zaloguj | Rejestruj )

Forum PHP.pl

> Konwerter HTML do BBCode i BBCode do HTML
northwest
post
Post #1





Grupa: Zarejestrowani
Postów: 788
Pomógł: 1
Dołączył: 17.09.2004

Ostrzeżenie: (10%)
X----


Witam serdecznie,
Poszukuję funkcji do bezpiecznego zapisu/odczytu danych w bazie MySQL.
Użytkownicy mojej strony mają edytorek HTML i zapisują swoje dane w MySQL.
Poszukuję funkcji do bezpiecznego zapisu i odczytu tych danych do MySQL (z usunięciem niebezpiecznych tagów/js'ów itp).


Mógłbym prosić o podesłanie takich skryptów?


Bardzo proszę o pomoc,
Northwest
Go to the top of the page
+Quote Post
 
Start new topic
Odpowiedzi
northwest
post
Post #2





Grupa: Zarejestrowani
Postów: 788
Pomógł: 1
Dołączył: 17.09.2004

Ostrzeżenie: (10%)
X----


W PDO robię zapis w takiej formie:


  1. $stmt = $db->prepare("select COUNT(bf_id) AS ile from uzytkownicy WHERE login =:login;");
  2. $stmt->bindValue(':login', baza_zapis($_POST["login"]), PDO::PARAM_STR);
  3. $stmt->execute();
  4.  
  5.  
  6. $stmt = $db->prepare("INSERT INTO uzytkownicy (login, haslo,typusera, opis) VALUES (:login, :haslo, :typusera, :opis);");
  7. $stmt->bindValue(':login', baza_zapis($_POST['login']), PDO::PARAM_STR);
  8. $stmt->bindValue(':haslo', baza_zapis($_POST['haslo']), PDO::PARAM_STR);
  9. $stmt->bindValue(':typusera', 1, PDO::PARAM_INT);
  10. $stmt->bindValue(':opis', baza_zapis($_POST['opis']), PDO::PARAM_STR);
  11. $stmt->execute();
  12.  


i zastanawiam się czy istnieje jakieś jeszcze niebezpieczeństwo?

W funkcji zapisującej usuwam JS, do tego to PDO i zamiana HTML ... Coś jeszcze powinienem zrobić?


Wyczytałem gdzieś że opisy itp powinno zamieniać się na BBCode przed zapisem....

Ten post edytował northwest 28.09.2015, 13:15:01
Go to the top of the page
+Quote Post

Posty w temacie


Reply to this topicStart new topic
2 Użytkowników czyta ten temat (2 Gości i 0 Anonimowych użytkowników)
0 Zarejestrowanych:

 



RSS Aktualny czas: 9.10.2025 - 12:56