Witaj Gościu! ( Zaloguj | Rejestruj )

Forum PHP.pl

> [HTML][PHP] Zabezpieczenie strony
kamil1114
post
Post #1





Grupa: Zarejestrowani
Postów: 117
Pomógł: 0
Dołączył: 22.02.2008
Skąd: katowice

Ostrzeżenie: (0%)
-----

Mam stronę , na której można dodawać komentarze. Każdy może taki komentarz dodać. Gdzieś przeczytałem , że strona jest źle zabezpieczona , jeżali poprzez formularz dodawania komentarzy można wykonać dowolne polecenie html'a lub php. Czy tak jest naprawdę ? Bo jak wpiszę w polu komentarza na przykład <img src="./obrazek.jpg"></img> , to obrazek w komentarzach się pojawia.
Go to the top of the page
+Quote Post
 
 Start new topic
Odpowiedzi
kamil1114
post
Post #2





Grupa: Zarejestrowani
Postów: 117
Pomógł: 0
Dołączył: 22.02.2008
Skąd: katowice

Ostrzeżenie: (0%)
-----

Ja chcę wstawić do bazy komentarz. Może pokażę kawałek kodu PHP :

[PHP] pobierz, plaintext 
  1. echo "<b>Dodawanie komentarzy:</b></br>";
  2.  
  3. echo "<form method='post'>";
  4.  
  5. echo "Twój nick: </br>";
  6.  
  7. echo "<input type='text' name='nick'> </br>";
  8.  
  9. echo "Tresć komentarza: </br>";
  10.  
  11. echo "<textarea name='komentarz' cols='40' rows='15'></textarea> </br>";
  12.  
  13. echo "<input type='submit' value='Dopisz'>";
  14.  
  15. echo "</form>";
  16. echo "</center>";
  17.  
  18. $nick=strip_tags($_POST['nick']);
  19. $text=nl2br(strip_tags($_POST['komentarz']));
  20. $ip=$_SERVER['REMOTE_ADDR'];
  21.  
  22.  
  23.  
  24.  
  25. if(!empty($nick) && !empty($tresc)){
  26. $id_newsa=$_GET['id'];
  27. mysql_query("insert into komentarze (id,nick,tresc,ip,id_newsa) values (0,'$nick','$text','$ip','$id_newsa')");
  28.  
[PHP] pobierz, plaintext


Czy takie zabezpieczenie jest dobre ? Myślałem czy nie lepiej użyć funkcji: mysql_real_escape_string ? Proszę o pomoc , bo chciałbym dobrze zabezpieczyć stronę.

Ten post edytował kamil1114 23.12.2009, 20:18:39
Go to the top of the page
+Quote Post

Posty w temacie
- kamil1114   [HTML][PHP] Zabezpieczenie strony   22.12.2009, 13:51:45
- - nospor   no tak, skoro mozna do strony zapodać dowolny kod ...   22.12.2009, 14:00:53
- - tog   $code = htmlspecialchars($code); i po ht...   22.12.2009, 14:13:50
- - kamil1114   A co taki potencjalny włamywacz może zrobić ? Ten...   22.12.2009, 14:49:47
- - bełdzio   http://www.beldzio.com/obsluga-html   22.12.2009, 19:19:57
- - kamil1114   Dziękuję za pomoc , a tak przy okazji , to fajna s...   23.12.2009, 14:03:51
- - darko   htmlspecialchars htmlentities albo mysql_real_esca...   23.12.2009, 14:49:09
- - kamil1114   A ta funkcja która ja napisałem nie wystarczy ? Za...   23.12.2009, 14:50:26
- - darko   dobrze by było   23.12.2009, 14:51:59
- - kamil1114   Ok , dzięki za pomoc. Czyli mam rozumieć że te moj...   23.12.2009, 16:30:44
- - bełdzio   zależy co chcesz zrobić, jak wyświetlić txt bez ta...   23.12.2009, 19:28:25
- - kamil1114   Ja chcę wstawić do bazy komentarz. Może pokażę kaw...   23.12.2009, 20:17:54
- - Blame   Przy każdym wysyłaniu do bazy treści, którą może w...   23.12.2009, 20:49:54
- - kamil1114   Czyli prawidłowo zabezpieczony skrypt powinien wyg...   23.12.2009, 21:49:16
- - Blame   Jeszcze tylko zabezpiecz $id_newsa.   23.12.2009, 22:07:43
- - kamil1114   Dziękuję za pomoc. Ale id_newsa nie jest podawan...   23.12.2009, 22:27:43
- - Blame   Ponieważ jest pobierane przez $_GET, czyli wi...   23.12.2009, 23:21:05
- - kamil1114   Ok , już rozumiem o co chodzi. Spróbowałem tak ...   23.12.2009, 23:47:01

« Następny starszy · Przedszkole · Następny nowszy »
 

Reply to this topicStart new topic
2 Użytkowników czyta ten temat (2 Gości i 0 Anonimowych użytkowników)
0 Zarejestrowanych:

 

Tryb wyświetlania: Przełącz na: Standardowy · Przełącz na: Linearny+ · Drzewo

Śledź ten temat · Wyślij temat na e-mail · Wydrukuj ten temat · Subskrybuj to forum

RSS Aktualny czas: 29.12.2025 - 18:28
Powered By IP.Board © 2025  IPS, Inc.
All changes by PHP.pl Administrators
Hosting zapewnia NQ.pl hosting, trac, svn