Witaj Gościu! ( Zaloguj | Rejestruj )

Forum PHP.pl

> [PHP] bezpieczeństwo, mysql_real_escape_string
peter13135
post
Post #1





Grupa: Zarejestrowani
Postów: 1 447
Pomógł: 191
Dołączył: 26.03.2008

Ostrzeżenie: (0%)
-----

czytałem conieco w manualu o mysql_real_escape_string (nawet po polsku jest opis:))
jednak jako początkujący webmasjter, niebardzo to rozumiem, więc mam pytanie
czy poniższy skrypt jest bezpieczny??


[PHP] pobierz, plaintext 
  1. <?
  2. //formularz
  3. //łączenie z bazą
  4. // jeśli wypełniono dane w formularzu
  5.  
  6. $login=$_POST['login'];
  7. $haslo=$_POST['haslo'];
  8. $login=mysql_real_escape_string($login);
  9. $haslo = mysql_real_escape_string($haslo)
  10.  
  11.  
  12.   {
  13.    $sql=mysql_query("select * from userzy where login='$login' and haslo='$haslo' ");
  14.    }
  15. ?>
[PHP] pobierz, plaintext


cały ten kod jest pisany "z palca", chce sie tylko dowiedzieć czy takie filtrowanie zmiennych jest bezpieczne, czy to wogóle oto chodzi

edit:// jeszcze jedno
czy "sprintf" to jest to samo co mysql_query?
Powód edycji: Poprawiłem tytuł tematu. /webdicepl
Go to the top of the page
+Quote Post
 
 Start new topic
Odpowiedzi
paziek
post
Post #2





Grupa: Zarejestrowani
Postów: 207
Pomógł: 25
Dołączył: 16.11.2006

Ostrzeżenie: (0%)
-----

@robos85:
[PHP] pobierz, plaintext 
  1. <?php
  2. function sqlesc ($content) {
  3.   $content = (! get_magic_quotes_gpc ()) ? mysql_real_escape_string ($content) : $content;
  4.   return htmlspecialchars($content);
  5. }
  6. ?>
[PHP] pobierz, plaintext


Przy magic_quotes też trzeba się zabepieczyc przed XSS.


@peter13135: Funkcja jest OK, ale sądzę, że nie ma sensu łączyć strip_tags() z htmlspecialchars() (w typ przypadpku), jako, że drugie zamienia tobie tagi <> na HTMLowe encje (? zwał jak zwał) i są wtedy one wyświetlane w formie tekstowej (tak jak na tym forum), więc żadne XSS nie ma wtedy prawa bytu.
strip_tags() używaj, jeśli chcesz usuwać tagi z wprowadzanego tekstu, zamiast je wyświetlać z htmlspecialchars(). Plus, dla strip_tags() możesz podać listę 'dozwolonych' tagów, np. <b>, <i> oraz <u> są dobrymi przykładami nieszkodliwych tagów.

Przykład:
Wysyłam komentarz o treści <script>alert('Shackowałem cię!');</script>
htmlspecialchars("<script>alert('Shackowałem cię!');</script>"); wyświetli <script>alert('Shackowałem cię!');</script>
strip_tags("<script>alert('Shackowałem cię!');</script>"); wyświetli alert('Shackowałem cię!');
Oba są niegroźne, ale wynik różny, prawda?

Ten post edytował paziek 11.08.2008, 13:59:24
Go to the top of the page
+Quote Post

Posty w temacie
- peter13135   [PHP] bezpieczeństwo   10.08.2008, 13:14:34
- - bełdzio   mysql_real_escape_string ma za zadanie uchronic pr...   10.08.2008, 13:46:56
- - peter13135   aha, czyli jak jeszcze te zmienne "przelece...   10.08.2008, 14:19:07
|- - bełdzio   Cytat(peter13135 @ 10.08.2008, 15:19...   10.08.2008, 18:43:32
- - pyro   niom   10.08.2008, 14:54:48
- - peter13135   dzięki za linka, ten artykuł rozjaśnił mi conieco ...   10.08.2008, 19:01:24
- - bełdzio   jeśli korzystasz z iso to ostatni parametr mozesz ...   10.08.2008, 20:42:14
- - peter13135   napisałem taką funkcje... [PHP] pobierz, plaintext...   11.08.2008, 12:23:09
- - robos85   ja używam tego: [PHP] pobierz, plaintext <?phpf...   11.08.2008, 12:37:41
- - Shili   Jeśli nie zamierzasz tego nigdy wyświetlać na stro...   11.08.2008, 12:43:44
|- - robos85   Cytat(Shili @ 11.08.2008, 13:43:44 ) ...   11.08.2008, 12:46:22
- - peter13135   Cytat(Shili @ 11.08.2008, 13:43:44 ) ...   11.08.2008, 12:46:19
- - Shili   @peter13135 Do @robos85. Swoją drogą uważam, że je...   11.08.2008, 12:57:35
|- - robos85   Cytat(Shili @ 11.08.2008, 13:57:35 ) ...   11.08.2008, 13:05:25
- - peter13135   w takim razie czy mogłbyś przerobić moją funckje??...   11.08.2008, 13:07:12
- - paziek   @robos85: [PHP] pobierz, plaintext <?phpfunctio...   11.08.2008, 13:51:34
- - peter13135   ymm, tak patrze na swój kod i widze coś takiego [...   11.08.2008, 14:16:28
- - paziek   Cytata czy niewystarzy dać htmlspecialchars(...   11.08.2008, 14:22:00
- - robos85   A co z kolejnością 2ch funkcji - pisałem tutaj - k...   11.08.2008, 16:24:56
- - bełdzio   1. zrezygnuj ze sprawdzania get_magic_quotes_gpc 2...   11.08.2008, 16:50:52
- - robos85   czyli funkcja: [PHP] pobierz, plaintext <?phpfu...   21.08.2008, 14:46:34
- - bełdzio   dodaj htmlspecialchars i bedzie ok   21.08.2008, 16:36:21
- - robos85   A czy strip_tags" title="Zobacz w manualu PHP" tar...   22.08.2008, 07:04:34
- - bełdzio   usuwa htmlspecialchars ma za zadanie pozbycie sie...   22.08.2008, 13:00:40
- - robos85   [PHP] pobierz, plaintext <?php$content=mysql_re...   22.08.2008, 13:38:13
- - bełdzio   powinno byc   22.08.2008, 14:02:04

« Następny starszy · Przedszkole · Następny nowszy »
 

Reply to this topicStart new topic
2 Użytkowników czyta ten temat (2 Gości i 0 Anonimowych użytkowników)
0 Zarejestrowanych:

 

Tryb wyświetlania: Przełącz na: Standardowy · Przełącz na: Linearny+ · Drzewo

Śledź ten temat · Wyślij temat na e-mail · Wydrukuj ten temat · Subskrybuj to forum

RSS Aktualny czas: 5.10.2025 - 02:44
Powered By IP.Board © 2025  IPS, Inc.
All changes by PHP.pl Administrators
Hosting zapewnia NQ.pl hosting, trac, svn