[PHP]Zabezpieczenie $_POST i $_GET Opcje

[patryk9200]

Cześć,
Da może się zrobić tak żeby każdą tablicę w skrypcie bez wyjątku $_GET lub $_POST był "oczyszczony" z wszelakiego kodu PHP i zapytań MySQL ?
Tylko zależy mi na tym żeby $_POST html można było przesyłać...
Jak takie coś zrobić?

Ten post edytował patryk9200 24.07.2009, 19:09:03

[Pawel_W]

mysql_real_escape_string" title="Zobacz w manualu PHP" target="_manual i strip_tags" title="Zobacz w manualu PHP" target="_manual

mogłem przekręcić nazwy (IMG:http://forum.php.pl/style_emoticons/default/winksmiley.jpg)

EDIT: jeżeli chodzi o przesyłanie kodu html to strip_tags odpada, musisz sobie napisać własną funkcję, albo jako drugi parametr funkcji podać wszystkie wyjątki

Ten post edytował Pawel_W 24.07.2009, 19:14:11

[patryk9200]

tylko mi chodzi i to żeby odrazu jak zastosuję gdzieś w kodzie np. $_GET[] to już było oczyszczone wywołując tylko raz odpowiedni skrypt na początku strony...

[Pawel_W]

[PHP] pobierz, plaintext 
<?php
foreach($_GET as $klucz => $wartosc)
 $_GET[$klucz] = strip_tags($_GET[$klucz])
?>
[PHP] pobierz, plaintext 

tak samo dla $_POST

[erix]

array_walk" title="Zobacz w manualu PHP" target="_manual... (IMG:http://forum.php.pl/style_emoticons/default/dry.gif)

[Fifi209]

mysql_real_escape_string" title="Zobacz w manualu PHP" target="_manual i strip_tags" title="Zobacz w manualu PHP" target="_manual

mogłem przekręcić nazwy (IMG:http://forum.php.pl/style_emoticons/default/winksmiley.jpg)

EDIT: jeżeli chodzi o przesyłanie kodu html to strip_tags odpada, musisz sobie napisać własną funkcję, albo jako drugi parametr funkcji podać wszystkie wyjątki

To już chyba prościej włączyć magic_quotes

[erix]

Też o tym samym pomyślałem, ale w PHP6 tego nie będzie, AFAIK.

[tomekpl]

[PHP] pobierz, plaintext 
<?php
$arrArguments = array();
 
    $intArgumentIndex = 0;
 
    function parseArgument($arrMatches) {
 
        global $arrArguments, $intArgumentIndex;
 
        $strMatch = $arrMatches[0];
 
        $strArgument = @$arrArguments[$intArgumentIndex++];
 
        switch ($strMatch) {
 
            case '%d': return (int)$strArgument;
 
            case '%s': return '"'.
 
              mysql_real_escape_string($strArgument).'"';
 
            case '%b': return (int)((bool)$strArgument);
 
        }    
 
    }
 
    function SQL($strSql) {
 
        global $arrArguments, $intArgumentIndex;
 
        $arrArgs = func_get_args();
 
        array_shift($arrArgs);
 
        $arrArguments = $arrArgs;
 
        $intArgumentIndex = 0;
 
        return preg_replace_callback('/(%[dsb])/', 'parseArgument',
 
          $strSql);    
 
    }
?>
[PHP] pobierz, plaintext 

(IMG:http://forum.php.pl/style_emoticons/default/smile.gif)
A jak masz GET to prawie zawsze przesyłasz tam jakieś wartości liczbowe
$zmienna=intval($_GET['jakasget'])

przepusci tylko liczby