Witaj Gościu! ( Zaloguj | Rejestruj )

Forum PHP.pl

> [PHP]Enter i obrona przed sql injection., Czyli posty i komentarze.
nekomata
post
Post #1





Grupa: Zarejestrowani
Postów: 314
Pomógł: 44
Dołączył: 12.11.2010
Skąd: UK

Ostrzeżenie: (0%)
-----

Otóż pisze sobie taki prosty portalik i zastanawiam jak się zabezpieczyć przed sql injection na razie mam coś takiego.
[PHP] pobierz, plaintext 
  1. function strip_html_tags( $text )
  2. {
  3.     $text = preg_replace(
  4.         array(
  5.           // Remove invisible content
  6.             '@<head[^>]*?>.*?</head>@siu',
  7.             '@<style[^>]*?>.*?</style>@siu',
  8.             '@<script[^>]*?.*?</script>@siu',
  9.             '@<object[^>]*?.*?</object>@siu',
  10.             '@<embed[^>]*?.*?</embed>@siu',
  11.             '@<applet[^>]*?.*?</applet>@siu',
  12.             '@<noframes[^>]*?.*?</noframes>@siu',
  13.             '@<noscript[^>]*?.*?</noscript>@siu',
  14.             '@<noembed[^>]*?.*?</noembed>@siu',
  15.           // Add line breaks before and after blocks
  16.             '@</?((address)|(blockquote)|(center)|(del))@iu',
  17.             '@</?((div)|(h[1-9])|(ins)|(isindex)|(p)|(pre))@iu',
  18.             '@</?((dir)|(dl)|(dt)|(dd)|(li)|(menu)|(ol)|(ul))@iu',
  19.             '@</?((table)|(th)|(td)|(caption))@iu',
  20.             '@</?((form)|(button)|(fieldset)|(legend)|(input))@iu',
  21.             '@</?((label)|(select)|(optgroup)|(option)|(textarea))@iu',
  22.             '@</?((frameset)|(frame)|(iframe))@iu',
  23.         ),
  24.         array(
  25.             ' ', ' ', ' ', ' ', ' ', ' ', ' ', ' ', ' ',
  26.             "\n\$0", "\n\$0", "\n\$0", "\n\$0", "\n\$0", "\n\$0",
  27.             "\n\$0", "\n\$0",
  28.         ),
  29.         $text );
  30.     return strip_tags( $text );
  31. }
  32. //strip_html_tags($_POST['info']);
  33. $x = array_map(trim,$_POST);
  34. $y = array_map(strip_html_tags,$x);
  35. $z = array_map(addslashes,$y);
  36. $_POST = $z;
[PHP] pobierz, plaintext

Czy takie cos zapewni mi "względne" bezpieczeństwo?Dodatkowo po "przetworzeniu" tekstu przez te "defensywe" nie przechodzi do następnej lini jednak w formularzu przechodziło.Co mogę z tym zrobić?Albo jak dodatkowo się zabezpieczyć?
Go to the top of the page
+Quote Post
 
 Start new topic
Odpowiedzi
nekomata
post
Post #2





Grupa: Zarejestrowani
Postów: 314
Pomógł: 44
Dołączył: 12.11.2010
Skąd: UK

Ostrzeżenie: (0%)
-----

To wszystko co chciałbym wiedzieć, dzięki za szybką odpowiedz... chociaż nadal nie wiem czemu mi te entery w textarea pomija..

[Edit]
Rozwiązanie na entery + BBcode zamieszczam jakby ktoś potrzebował :
[PHP] pobierz, plaintext 
  1.  
  2. function bbcode($zrodlo){
  3. 		$zrodlo=trim($zrodlo);
  4. 		$zrodlo=htmlspecialchars($zrodlo);
  5. 	    $zrodlo=preg_replace("#\[b\](.*?)\[/b\]#si", "<b>\\1</b>", $zrodlo);
  6.         $zrodlo=preg_replace("#\[i\](.*?)\[/i\]#si", "<i>\\1</i>", $zrodlo);
  7.         $zrodlo=preg_replace("#\[u\](.*?)\[/u\]#si", "<u>\\1</u>", $zrodlo);
  8.         $zrodlo=preg_replace("#\[small\](.*?)\[/small\]#si", "<small>\\1</small>", $zrodlo);
  9.         $zrodlo=preg_replace("#\[big\](.*?)\[/big\]#si", "<big>\\1</big>", $zrodlo);
  10.         $zrodlo=preg_replace("#\[p\](.*?)\[\/p\]#si", "<p>\\1</p>", $zrodlo);
  11.         $zrodlo=preg_replace("#\[center\](.*?)\[\/center\]#si", "<center>\\1</center>", $zrodlo);
  12. 		$zrodlo=preg_replace("#\[color=(http://)?(.*?)\](.*?)\[/color\]#si", "<span style=\"color:\\2\">\\3</span>", $zrodlo);
  13. 		$zrodlo=preg_replace("#\[size=(http://)?(.*?)\](.*?)\[/size\]#si", "<span style=\"font-size:\\2\">\\3</span>", $zrodlo);
  14. 		$zrodlo=preg_replace("#\[img\](.*?)\[/img\]#si", "<img src=\"\\1\" border=\"0\" alt=\"No img\" />", $zrodlo);
  15. 		$zrodlo=preg_replace("#\[hr=([0-9]{1,2}|100)\]#si", "<hr class=\"linia\" width=\"\\1%\">", $zrodlo);
  16. 		$zrodlo=nl2br($zrodlo);
  17. 		return $zrodlo;
  18. }
[PHP] pobierz, plaintext


Ten post edytował nekomata 18.11.2010, 09:59:07
Go to the top of the page
+Quote Post

Posty w temacie
- nekomata   [PHP]Enter i obrona przed sql injection.   18.11.2010, 09:07:25
- - wookieb   W zależności od sterownika PDO: http://pl2.php.ne...   18.11.2010, 09:09:25
- - nekomata   Rozumiem, tylko np. jakbym chciał podgląd postu to...   18.11.2010, 09:20:08
- - wookieb   To już nie jest zabezpieczenie przed sqlinjection....   18.11.2010, 09:23:34
- - lDoran   Możesz napisać własną klasę bbcode, każdy post moż...   18.11.2010, 09:27:56
- - nekomata   To wszystko co chciałbym wiedzieć, dzięki za szybk...   18.11.2010, 09:29:06

« Następny starszy · Przedszkole · Następny nowszy »
 

Reply to this topicStart new topic
2 Użytkowników czyta ten temat (2 Gości i 0 Anonimowych użytkowników)
0 Zarejestrowanych:

 

Tryb wyświetlania: Przełącz na: Standardowy · Przełącz na: Linearny+ · Drzewo

Śledź ten temat · Wyślij temat na e-mail · Wydrukuj ten temat · Subskrybuj to forum

RSS Aktualny czas: 7.10.2025 - 18:18
Powered By IP.Board © 2025  IPS, Inc.
All changes by PHP.pl Administrators
Hosting zapewnia NQ.pl hosting, trac, svn