[PHP] addslashes() Opcje

[antoniak]

Witam,


W panelu administracyjnym dodaję treść za pomocą formularza addslashes($_POST['opis_pelny']) dla bezpieczeństwa, ale później dane wyświetlane
są w postaci wiadomo podwajanych \\ jeśli są w opisie " '

Czy są jakieś inne funkcje, które uchronią przed sql injection, a nie będą później te dane wyświetlane z backslash, chyba, że w panelu administracyjnym nie potrzebnie stosować tej metody?

Powód edycji: [Spawnm] Przeniosłem.

[planet]

potem robisz stripslashes() przed wyświetleniem danych.

[antoniak]

dzięki, ale w bazie danych każda edycja artykułu powoduje ciągle podwajanie \\\\\\ bo w formularza większość dodaje kod HTML

później wygląda tak


<div id=\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\"

i cała reszta kodu, a to jeśli jest dużo artykułów to później te "śmieci" zajmują więcej na serwerze

Ten post edytował antoniak 31.07.2009, 13:30:41

[Fifi209]

Próbowałeś z mysql_real_escape_string" title="Zobacz w manualu PHP" target="_manual ?

[antoniak]

teraz sprawdzałem, ale niestety dalej dodaje do bazy danych backslash bo w kodzie HTML pełno mamy "
ale i nie tylko bo czasem też sam muszę używać " '

Edit: dodam, że kod HTML jest wprowadzany w textarea i dalej nie wiem, które zabezpieczenie zastosować, aby nie miałem backslash jeśli w tym kodzie znajduje się cudzysłów etc.

[zeten]

[PHP] pobierz, plaintext 
<?php
$text = str_replace(''', '<cudzyslow>', $text); //zamieniamy znak ' na <cudzyslow>
 
$text = str_replace('<cudzyslow>', ''', $text); //zamieniamy <cudzyslow> na znak '
?>
[PHP] pobierz, plaintext 

;-)

[antoniak]

czyli teraz tak robię to pierwsze dodaję tam gdzie czytam z bazy danych, a drugie w miejsce gdzie jest formularz, który dodaje do bazy? ;-)

[zeten]

czyli teraz tak robię to pierwsze dodaję tam gdzie czytam z bazy danych, a drugie w miejsce gdzie jest formularz, który dodaje do bazy? ;-)

[PHP] pobierz, plaintext 
<?php
$text = str_replace(''', '<cudzyslow>', $text); //zamieniamy znak ' na <cudzyslow>
?>
[PHP] pobierz, plaintext 

Tutaj 'kodujesz' dane, które będziesz umieszczał w bazie.

[PHP] pobierz, plaintext 
<?php
$text = str_replace('<cudzyslow>', ''', $text); //zamieniamy <cudzyslow> na znak '
?>
[PHP] pobierz, plaintext 

Tutaj 'dekodujesz' dane, które będziesz pobierał z bazy i wyświetlał na stronie.

[antoniak]

zrobiłem tak


function str_replace($teskt) {

$teskt = str_replace('<cudzysłów>', '\'', $teskt);

}
.................
i gdzie pobieram dane z bazy
$db->query("SELECT `id`, `xx`, '<cudzysłów> . str_replace(opis_pelny) . <cudzysłów>', `typ`,

i na stronie mam błąd
Warning: Wrong parameter count for str_replace() in właśnie w tej linijce, gdzie zaznaczam dane z bazy

Ten post edytował antoniak 2.08.2009, 15:11:39

[zeten]

zrobiłem tak
function str_replace($teskt) {

$teskt = str_replace('"', '\'', $teskt);

}
.................
i gdzie pobieram dane z bazy
$db->query("SELECT `id`, `xx`, `'" . str_replace(opis_pelny) . "'`, `typ`,

i na stronie mam błąd
Warning: Wrong parameter count for str_replace() in właśnie w tej linijce, gdzie zaznaczam dane z bazy

Nie można tworzyć funkcji o nazwie istniejącej funkcji ;-)

[PHP] pobierz, plaintext 
<?php
function apostrof($txt) {
   $txt = str_replace(''', '<apostrof>', $txt); 
   RETURN $txt;    
}
?>
[PHP] pobierz, plaintext 

;-) No ale nie wiem czy Ci to pomoże. W bazie zamiast ' będziesz miał <apostrof> ;-) ;-)