Nietypowa walidacja - Forum PHP.pl

Nietypowa walidacja, problem z bezpieczenstwem

lukaskolista Zobacz profil	22.07.2010, 08:47:31 Post #1
Grupa: Zarejestrowani Postów: 872 Pomógł: 94 Dołączył: 31.03.2010 Ostrzeżenie: (0%)	Witam. Musze do bazy danych zapisac teksty uzytkownikow z tinymce editora. Musze to jednak zrobic w czystej postaci: nie moge przepuscic tekstu przez htmlspecialchars)= i zapisac do bazy, a nastepnie przy wyswietlaniu uzyc htmlspecialchars_decode(). Musze zapisac je ze znakami specjalnymi. W tym wlasnie problem. W takim przypadku edytor tekstowy staje sie okienkiem do wpisywania polecen dla hakerow. Macie moze pomysl, jak rozwiazac ten problem? Z gory dziekuje za pomoc:)

Odpowiedzi

fander Zobacz profil	28.07.2010, 09:07:05 Post #2
Grupa: Zarejestrowani Postów: 231 Pomógł: 22 Dołączył: 6.10.2008 Ostrzeżenie: (0%)	Nie wiem dlaczego podchodzicie do tego w taki sposób że chłopak sam ma tworzyć zapytania, nie lepiej zaproponować koledze przejście na programowanie obiektowe, na początek klasy modeli w połączeniu z prostym PDO. PDO posiada lepsze "zabezpieczenia" przed sql injection niż ty sam jesteś w stanie wymyślić. Rozwiąż to w ten sposób że tworzysz sobie klasę odpowiadającej tabelce w bazie z odopowiednimi metodami i atrybutami czyli: [PHP] pobierz, plaintext class mojaTableka{ /** $var PDO / public static $_connection; public static $_insertSql = 'INSERT INTO mojaTabela (kolumna1,kolumna2,...) VALUES (:kolumna1,:kolumna2,...)'; . . . public $kolumna1; public $kolumna2; public $kolumna2; . . . public static parms = array( 'kolumna1' => PDO::PARAM_STR, . . . ); public function __set($key,$val){ if(isset($this->$key)){ $this->$key = $value; } } public function __get($key){ if(isset($this->$key)){ return $this->$key; } } public static function insert(mojaTableka $obiekt){ try{ $prep = self::$_connection->prepare(self::$_insertSql); foreatch(self::$params as $key => $val){ $prep->bondParam(':'.$key,$obiekt->$key,$val); } return $prep->execute(); }catch(Exception $e){ return false; } } public static function update(mojaTabelka $obiekt){ } public static function dell(mojaTableka $obiekt){ } public static function get($where){ } public function save(){ if($this->IDENTYFIKATOR !== NULL){ mojaTablela::update($this); } else{ mojaTablela::insert($this); } } } [PHP] pobierz, plaintext Pisane z ręki mogą być błędy, ale zamysł jest prawidłowy. Jeśli wybierzesz moje rozwiązanie na pewno postaram się pomóc. Ten post edytował fander* 28.07.2010, 09:08:07

Posty w temacie

lukaskolista Nietypowa walidacja 22.07.2010, 08:47:31

piotr94 dlaczego nie możesz przepuścić przez te funkcje i ... 22.07.2010, 09:14:59

lukaskolista jakbym mogl to bym nie pisal tematu W bazie musza... 22.07.2010, 09:16:22

piotr94 a filtrowanie słów "kluczowych" dla zapy... 22.07.2010, 09:23:43

lukaskolista Doklanie to co jest w bazie jest przetwarzane prze... 22.07.2010, 09:29:47

piotr94 fraz php nie musisz filtorwać, chyba, że gdzieś je... 22.07.2010, 09:39:02

fifi209 Cytat(piotr94 @ 22.07.2010, 09:39:02 ... 27.07.2010, 09:56:38

lukaskolista dzieki:) sprobuje Tak sie zastanawiam, czy nie ma... 27.07.2010, 09:03:53

Pilsener Nie chcę być złośliwy, ale wystarczy zastąpić or |... 28.07.2010, 07:58:00

fander Nie wiem dlaczego podchodzicie do tego w taki spos... 28.07.2010, 09:07:05

cojack addslashes ma błąd i jest sposób na to by go obejś... 28.07.2010, 12:23:46

piotr94 bardzo ciekawe te poradniki Nieznanego dzięki za ... 28.07.2010, 17:39:15

MacDada Poczytaj do bindValue() w PDO: http://pl.wikibooks... 28.07.2010, 18:07:10

« Następny starszy · PHP · Następny nowszy »

2 Użytkowników czyta ten temat (2 Gości i 0 Anonimowych użytkowników)

0 Zarejestrowanych:

Tryb wyświetlania: Przełącz na: Standardowy · Przełącz na: Linearny+ · Drzewo

Śledź ten temat · Wyślij temat na e-mail · Wydrukuj ten temat · Subskrybuj to forum

Aktualny czas: 12.10.2025 - 10:06

Hosting zapewnia