 [MySQL][PHP]Filtrowanie danych w PHP i ich weświetlanie |
| [MySQL][PHP]Filtrowanie danych w PHP i ich weświetlanie |
 12.02.2011, 11:39:41
Post
#1
|
|
|
Grupa: Zarejestrowani Postów: 788 Pomógł: 1 Dołączył: 17.09.2004 Ostrzeżenie: (10%) 
 |
Witam serdecznie,
naczytałem się ostatnio o bezpieczeństwie skryptów PHP i możliwościach ataku na mysql. Chce się zabezpieczyć przed różnego rodzaju atakami wprowadzając takie zabezpieczenie: Kod function baza_zapis($string) ////// zapis do bazy { $string = trim(htmlspecialchars(addslashes($string), ENT_QUOTES)); return $string; } function baza_odczyt($string) /////// odczyt z bazy { $string = htmlspecialchars_decode(stripslashes($string)); return $string; } Myślicie że to wystarczy (do zapisu/odczytu z bazy)? Rozwiązanie to ma 1 wadę. Po wpisaniu w inputa znaku: " zapisze się w bazie:" - więc ok. Ale jak wyświetlam to w inpucie, to nie widać tych znaczków w przeglądarce  dopiero w źródle widać:value =""""""""""""" - macie może jakiś sposób na to? Northwest |
 |
 
|
 |
|
12.02.2011, 11:51:40
Post
#2
|
|
|
Grupa: Zarejestrowani Postów: 695 Pomógł: 65 Dołączył: 27.07.2009 Skąd: Y Ostrzeżenie: (0%) 
|
przy zapisie nie uzywasz htmlspecialchars bo po co (chyba że je drukujesz). zamiast addslashes użyj mysql_real_escape_string.
przy wyświetlaniu użyj htmlspecialchars |
|
|
|
|
12.02.2011, 12:30:33
Post
#3
|
|
 Grupa: Moderatorzy Postów: 15 467 Pomógł: 1451 Dołączył: 25.04.2005 Skąd: Szczebrzeszyn/Rzeszów |
Temat: Bezpieczenstwo skryptow PHP
Temat: SQL Injection Insertion Czy wyszukiwarka gryzie? Może o czymś nie wiem? --------------------  ZCE :: Pisząc PW załączaj LINK DO TEMATU i TYLKO w sprawach moderacji :: jakiś błąd - a TREŚĆ BŁĘDU? :: nie ponaglaj z odpowiedzią via PW! |
|
|
|
 |
|
Wersja Lo-Fi | Aktualny czas: 31.07.2025 - 09:52 |
