[php] htmlspecialchars = stripslashes & strip_tags ?

[php] htmlspecialchars = stripslashes & strip_tags ?, & zabezpieczanie formularzy

Bartfoket Zobacz profil	24.03.2007, 14:00:56 Post #1
Grupa: Zarejestrowani Postów: 17 Pomógł: 0 Dołączył: 18.03.2007 Ostrzeżenie: (10%)	Witam, chciałbym się spytać czy htmlspecialchars wystarczy do zabezpieczenia formularzy (jeżeli nie, to podajcie jakie funkcje jeszcze i czy htmlspecialchars = strip_tags & stripslashes (IMG:http://forum.php.pl/style_emoticons/default/questionmark.gif) ? Ten post edytował Bartfoket 24.03.2007, 14:02:29

Odpowiedzi

Michal2000 Zobacz profil	24.03.2007, 15:16:08 Post #2
Grupa: Zarejestrowani Postów: 41 Pomógł: 0 Dołączył: 19.07.2006 Ostrzeżenie: (0%)	Cytat(Bartfoket @ 24.03.2007, 14:00:56 ) Witam, chciałbym się spytać czy htmlspecialchars wystarczy do zabezpieczenia formularzy (jeżeli nie, to podajcie jakie funkcje jeszcze i czy htmlspecialchars = strip_tags & stripslashes (IMG:http://forum.php.pl/style_emoticons/default/questionmark.gif) ? Cytat(kossa @ 24.03.2007, 14:55:48 ) To są rżne funkcje każda z nicm ma określone zadanie. Stosuj je razem. Łukasz htmlspecialchars() - Zmienia wszystkie znaki specjalne w kodzie HTML na ich nic nie znaczące odpowiedniki: * '&' (ampersand) becomes '&' * '"' (double quote) becomes '"' when ENT_NOQUOTES is not set. * ''' (single quote) becomes ''' only when ENT_QUOTES is set. * '<' (less than) becomes '<' * '>' (greater than) becomes '>' Zabepizecza przed atakimi XSS strip_tags - Usuwa wszystkie tagi HTML stripslashes - A ta funkcja usuwa ukosniki, jakie dodaje funkcja addsalshes lub jakie sa dodawane gdy wlaczony jest parametr 'magic quotes'. I tej funkcji NIE "Stosuj je razem". Bo stosujac ją w nieodpowiedni sposób narażasz się na ataki SQL Injection. jeżeli chcesz sie zabezpieczyć przed tego typu atakami przed wykonaniem zapytania na zmiennych użyj funkcji addslashes a zmienna w zapytaniu sql omieść w cudzysłowach. Ten post edytował Michal2000 24.03.2007, 15:18:16