[PHP]Zabezpieczenie pół input Opcje

[Lirdoner]

Witam, w jaki sposób najlepiej zabezpieczyć pola input dostępne do wszystkich, które wprowadzają jakieś dane do pliku?
funkcją str_replace konwertować znaki np. "<" ">"?

[Kszyhuu]

mysql_escape_string
mysql_real_escape_string

[Lirdoner]

Hmm... a mógłby ktoś mi wytłumaczyć różnice między tymi dwoma? Tylko proszę nie odsyłać mnie do google bo szukałem, ale niewiele zrozumiałem

I jeszcze jedno, wystarczy że pobiorę dane wpisane w polu
$tekst = $_POST['tekst'];
i później tylko
$tekst2 = mysql_real_escape_string($tekst);
I już mogę
mysql_query($tekst2);

?

[nospor]

Tylko proszę nie odsyłać mnie do google bo szukałem

To moze zajrzyj do manuala.... od tego jest.

[Lirdoner]

I jeszcze jedno, wystarczy że pobiorę dane wpisane w polu
$tekst = $_POST['tekst'];
i później tylko
$tekst2 = mysql_real_escape_string($tekst);
I już mogę
mysql_query($tekst2);

?

Dobra, a co z tym wyżej?

[nospor]

I już mogę
mysql_query($tekst2);

NIe, gdyz $tekst2 to zmienna z posta a nie zapytanie

[Lirdoner]

Aaa no racja, moje przeoczenie, ale w takim razie $tekst2 mogę już bez obaw wprowadzać do bazy ta?

[nospor]

czy bez obaw to zależy od informacji jakie tam będą... bo wiesz, jak to będą teczki na polityków to lepiej uważaj
No ale ogólnie tak, już możesz się czuć bezpieczniej gdy używasz escapowania danych.

[kusiu]

mysql_escape_string
mysql_real_escape_string

a skąd wiesz, że kolega korzysta z mysql'a ?

[nospor]

a skąd wiesz, że kolega korzysta z mysql'a ?

1) Gdyż 95% problemów z bazami dotyczy wlasnie mysql
2) Jakby nie korzystal to by chyba już dawno napisał...

3) nie masz większysz zmartwień pod koniec tematu od wcinania się bez większego powodu?

[kusiu]

1) Gdyż 95% problemów z bazami dotyczy wlasnie mysql
2) Jakby nie korzystal to by chyba już dawno napisał...

3) nie masz większysz zmartwień pod koniec tematu od wcinania się bez większego powodu?

zatem 5% kolego to JA. Zapytałem bo ja akurat korzystam z MsSQL'a i dla mnie ta funkcja jest w tym przypadku nie przydatna.
jaka jest alternatywa powyższej funkcji przy innych bazach ? Jedynie addslashes ?

[nospor]

zatem 5% kolego to JA.

hoho, 5% to wiecej osób niz tylko TY
Ale o co się obruszasz? Nie odpowiadaliśmy tobie tylko innemu uzytkownikowi i jemu odpowiedzi pasowały.
Jak tobie nie pasowały to trzeba było grzecznie napisac ze potrzebujesz rozwiązania pod inną bazę danych a nie z jakimś zgadywaniem wyskakujesz i na koniec jeszcze jakiś obrażony... (takie odnoszę wrażenie z tym obrażeniem, mogę się mylić )

[kusiu]

hoho, 5% to wiecej osób niz tylko TY
Ale o co się obruszasz? Nie odpowiadaliśmy tobie tylko innemu uzytkownikowi i jemu odpowiedzi pasowały.
Jak tobie nie pasowały to trzeba było grzecznie napisac ze potrzebujesz rozwiązania pod inną bazę danych a nie z jakimś zgadywaniem wyskakujesz i na koniec jeszcze jakiś obrażony... (takie odnoszę wrażenie z tym obrażeniem, mogę się mylić )

No teraz to mnie zaskoczyłeś Kubuś
zadałem grzecznie pytanie ... a to nie była odpowiedź na powyższe...

[nospor]

zadałem grzecznie pytanie ...

ja osobiście odniosłem inne wrażenie

a to nie była odpowiedź na powyższe...

Wiesz, twoj post:

a skąd wiesz, że kolega korzysta z mysql'a ?

też nie było odpowiedzią na problem zadany przez autora tematu. ty zaczołeś

Nie używałęm mssql, ale w manualu znalazłem:
http://pl.php.net/manual/en/function.mssql-bind.php
bindowanie to jest to

[kusiu]

ja osobiście odniosłem inne wrażenie


Wiesz, twoj post:

też nie było odpowiedzią na problem zadany przez autora tematu. ty zaczołeś

Nie używałęm mssql, ale w manualu znalazłem:
http://pl.php.net/manual/en/function.mssql-bind.php
bindowanie to jest to

dziekiii