Witaj Gościu! ( Zaloguj | Rejestruj )

Forum PHP.pl

> [PHP]funkcja do pól typu text
wpaski
post
Post #1





Grupa: Zarejestrowani
Postów: 206
Pomógł: 6
Dołączył: 25.12.2011

Ostrzeżenie: (0%)
-----

Czy taka funkcja zabezpiecza dane które mają być zapisywane do bazy danych? Dodatkowo korzystam z PDO.
[PHP] pobierz, plaintext 
  1.  
  2.    public function allowedcharacters($data) {
  3.                 $data = filter_var($data, FILTER_SANITIZE_STRING);  
  4.                 if (preg_match("/^[a-z ęóąśłżźćń]+$/", $data) == false) {
  5.                    return "Niedozwolone znaki";
  6.                 }
  7.         }
[PHP] pobierz, plaintext


Takie jeszcze poboczne pytanie co dokładnie robi flaga FILTER_SANITIZE_STRING bo z tego co wyczytałem, to usuwa znaki html'owskie ale co jeszcze usuwa?

Ten post edytował wpaski 7.10.2012, 13:25:06
Go to the top of the page
+Quote Post
 
 Start new topic
Odpowiedzi
wpaski
post
Post #2





Grupa: Zarejestrowani
Postów: 206
Pomógł: 6
Dołączył: 25.12.2011

Ostrzeżenie: (0%)
-----

dzięki, chodzi o podstawowe ataki, SQL injection i XSS

Cytat
Tzn. sama w sobie nie, ale jeśli będzie odpowiednio użyta z funkcją wywołującą zapytanie to tak.


Tego za bardzo nie rozumiem, przecież nie można wprowadzić innych znaków po za tymi filtrowanymi przez preg_match
Go to the top of the page
+Quote Post
bostaf
post
Post #3





Grupa: Zarejestrowani
Postów: 374
Pomógł: 79
Dołączył: 6.04.2010
Skąd: Ostrów Wielkopolski

Ostrzeżenie: (0%)
-----

Cytat(wpaski @ 7.10.2012, 16:28:10 ) *
dzięki, chodzi o podstawowe ataki, SQL injection i XSS

No to sprawa jest prosta. Do skonstruowania zapytania wykorzystaj PDO::prepare, podepnij dane za pomocą PDOStatement::bindParam i wykonaj zapytanie za pomocą PDOStatement::execute. Nic nie trzeba filtrować ani eskejpować. Wszystkie dane są "podpięte" czyli lecą do servera SQL równolegle z zapytaniem a nie w zapytaniu. W tym cała magia PDO - dane nie mają bezpośredniego kontaktu z zapytaniem.
W manualu PHP, za linkami które podałem, są ładne przykłady bindowania.
Go to the top of the page
+Quote Post

Posty w temacie
- wpaski   [PHP]funkcja do pól typu text   7.10.2012, 13:24:08
- - JoShiMa   A duże litery i znaki przestankowe? Cyfry też wykl...   7.10.2012, 13:46:24
- - wpaski   tak w tym polu akurat tak miało być, w innych gdzi...   7.10.2012, 13:53:44
- - b4rt3kk   Hmm, myślę, że nie ma co wymyślać koła na nowo, fu...   7.10.2012, 14:02:19
- - viking   @b4rt3kk: wpaski używa filter_var oraz jak mówił P...   7.10.2012, 14:22:42
- - bostaf   Cytat(wpaski @ 7.10.2012, 14:24:08 ) ...   7.10.2012, 15:08:49
- - wpaski   dzięki, chodzi o podstawowe ataki, SQL injection i...   7.10.2012, 15:28:10
- - bostaf   Cytat(wpaski @ 7.10.2012, 16:28:10 ) ...   7.10.2012, 15:41:42

« Następny starszy · Przedszkole · Następny nowszy »
 

Reply to this topicStart new topic
2 Użytkowników czyta ten temat (2 Gości i 0 Anonimowych użytkowników)
0 Zarejestrowanych:

 

Tryb wyświetlania: Przełącz na: Standardowy · Przełącz na: Linearny+ · Drzewo

Śledź ten temat · Wyślij temat na e-mail · Wydrukuj ten temat · Subskrybuj to forum

RSS Aktualny czas: 16.10.2025 - 14:04
Powered By IP.Board © 2025  IPS, Inc.
All changes by PHP.pl Administrators
Hosting zapewnia NQ.pl hosting, trac, svn