Forum PHP.pl

Forum PHP.pl > Forum > Przedszkole

Reply to this topic

Start new topic

[PHP]Enter i obrona przed sql injection., Czyli posty i komentarze.

nekomata Zobacz profil	18.11.2010, 09:07:25 Post #1
Grupa: Zarejestrowani Postów: 314 Pomógł: 44 Dołączył: 12.11.2010 Skąd: UK Ostrzeżenie: (0%)	Otóż pisze sobie taki prosty portalik i zastanawiam jak się zabezpieczyć przed sql injection na razie mam coś takiego. [PHP] pobierz, plaintext function strip_html_tags( $text ) { $text = preg_replace( array( // Remove invisible content '@<head[^>]?>.?</head>@siu', '@<style[^>]?>.?</style>@siu', '@<script[^>]?.?</script>@siu', '@<object[^>]?.?</object>@siu', '@<embed[^>]?.?</embed>@siu', '@<applet[^>]?.?</applet>@siu', '@<noframes[^>]?.?</noframes>@siu', '@<noscript[^>]?.?</noscript>@siu', '@<noembed[^>]?.?</noembed>@siu', // Add line breaks before and after blocks '@</?((address)\|(blockquote)\|(center)\|(del))@iu', '@</?((div)\|(h[1-9])\|(ins)\|(isindex)\|(p)\|(pre))@iu', '@</?((dir)\|(dl)\|(dt)\|(dd)\|(li)\|(menu)\|(ol)\|(ul))@iu', '@</?((table)\|(th)\|(td)\|(caption))@iu', '@</?((form)\|(button)\|(fieldset)\|(legend)\|(input))@iu', '@</?((label)\|(select)\|(optgroup)\|(option)\|(textarea))@iu', '@</?((frameset)\|(frame)\|(iframe))@iu', ), array( ' ', ' ', ' ', ' ', ' ', ' ', ' ', ' ', ' ', "\n\$0", "\n\$0", "\n\$0", "\n\$0", "\n\$0", "\n\$0", "\n\$0", "\n\$0", ), $text ); return strip_tags( $text ); } //strip_html_tags($_POST['info']); $x = array_map(trim,$_POST); $y = array_map(strip_html_tags,$x); $z = array_map(addslashes,$y); $_POST = $z; [PHP] pobierz, plaintext Czy takie cos zapewni mi "względne" bezpieczeństwo?Dodatkowo po "przetworzeniu" tekstu przez te "defensywe" nie przechodzi do następnej lini jednak w formularzu przechodziło.Co mogę z tym zrobić?Albo jak dodatkowo się zabezpieczyć?

wookieb Zobacz profil	18.11.2010, 09:09:25 Post #2
Grupa: Moderatorzy Postów: 8 989 Pomógł: 1550 Dołączył: 8.08.2008 Skąd: Słupsk/Gdańsk	W zależności od sterownika PDO: http://pl2.php.net/manual/pl/pdo.quote.php LUB http://pl2.php.net/manual/pl/pdo.prepare.php Mysql: http://pl2.php.net/mysql_real_escape_string Ot twoje cale zabezpieczenie przed sql injection. -------------------- 9marshals.com, Fantastyka, Parser bbcode ( UPDATE 1.2 ), Kalkulator wielkości informatycznych

nekomata Zobacz profil	18.11.2010, 09:20:08 Post #3
Grupa: Zarejestrowani Postów: 314 Pomógł: 44 Dołączył: 12.11.2010 Skąd: UK Ostrzeżenie: (0%)	Rozumiem, tylko np. jakbym chciał podgląd postu to tez muszę się zabezpieczyć przed jakimś nieoczekiwanym HTML i PHP racja?Co byście polecili na takie sprawy?

wookieb Zobacz profil	18.11.2010, 09:23:34 Post #4
Grupa: Moderatorzy Postów: 8 989 Pomógł: 1550 Dołączył: 8.08.2008 Skąd: Słupsk/Gdańsk	To już nie jest zabezpieczenie przed sqlinjection. Dobrym rozwiązaniem jest stosowanie HTML Puryfier, Tidy albo zastosowanie składni bbcode. -------------------- 9marshals.com, Fantastyka, Parser bbcode ( UPDATE 1.2 ), Kalkulator wielkości informatycznych

lDoran Zobacz profil	18.11.2010, 09:27:56 Post #5
Grupa: Zarejestrowani Postów: 172 Pomógł: 13 Dołączył: 15.11.2009 Ostrzeżenie: (0%)	Możesz napisać własną klasę bbcode, każdy post możesz sprawdzać funkcją htmlspecialchars(), rozwiązań jest dużo wszystko zależy od wiedzy i wyobraźni programisty.

nekomata Zobacz profil	18.11.2010, 09:29:06 Post #6
Grupa: Zarejestrowani Postów: 314 Pomógł: 44 Dołączył: 12.11.2010 Skąd: UK Ostrzeżenie: (0%)	To wszystko co chciałbym wiedzieć, dzięki za szybką odpowiedz... chociaż nadal nie wiem czemu mi te entery w textarea pomija.. [Edit] Rozwiązanie na entery + BBcode zamieszczam jakby ktoś potrzebował : [PHP] pobierz, plaintext function bbcode($zrodlo){ $zrodlo=trim($zrodlo); $zrodlo=htmlspecialchars($zrodlo); $zrodlo=preg_replace("#\[b\](.?)\[/b\]#si", "<b>\\1</b>", $zrodlo); $zrodlo=preg_replace("#\[i\](.?)\[/i\]#si", "<i>\\1</i>", $zrodlo); $zrodlo=preg_replace("#\[u\](.?)\[/u\]#si", "<u>\\1</u>", $zrodlo); $zrodlo=preg_replace("#\[small\](.?)\[/small\]#si", "<small>\\1</small>", $zrodlo); $zrodlo=preg_replace("#\[big\](.?)\[/big\]#si", "<big>\\1</big>", $zrodlo); $zrodlo=preg_replace("#\[p\](.?)\[\/p\]#si", "<p>\\1</p>", $zrodlo); $zrodlo=preg_replace("#\[center\](.?)\[\/center\]#si", "<center>\\1</center>", $zrodlo); $zrodlo=preg_replace("#\[color=(http://)?(.?)\](.?)\[/color\]#si", "<span style=\"color:\\2\">\\3</span>", $zrodlo); $zrodlo=preg_replace("#\[size=(http://)?(.?)\](.?)\[/size\]#si", "<span style=\"font-size:\\2\">\\3</span>", $zrodlo); $zrodlo=preg_replace("#\[img\](.?)\[/img\]#si", "<img src=\"\\1\" border=\"0\" alt=\"No img\" />", $zrodlo); $zrodlo=preg_replace("#\[hr=([0-9]{1,2}\|100)\]#si", "<hr class=\"linia\" width=\"\\1%\">", $zrodlo); $zrodlo=nl2br($zrodlo); return $zrodlo; } [PHP] pobierz, plaintext Ten post edytował nekomata 18.11.2010, 09:59:07

« Następny starszy · Przedszkole · Następny nowszy »

Reply to this topic

Start new topic

1 Użytkowników czyta ten temat (1 Gości i 0 Anonimowych użytkowników)

0 Zarejestrowanych:

Tryb wyświetlania: Standardowy · Przełącz na: Linearny+ · Przełącz na: Drzewo

Śledź ten temat · Wyślij temat na e-mail · Wydrukuj ten temat · Subskrybuj to forum

Aktualny czas: 22.08.2025 - 07:48

Powered By IP.Board © 2025 IPS, Inc.
All changes by PHP.pl Administrators

Hosting zapewnia

NQ.pl hosting, trac, svn