[php] htmlspecialchars = stripslashes & strip_tags ?, & zabezpieczanie formularzy Opcje

[Bartfoket]

Witam, chciałbym się spytać czy htmlspecialchars wystarczy do zabezpieczenia formularzy (jeżeli nie, to podajcie jakie funkcje jeszcze i czy htmlspecialchars = strip_tags & stripslashes (IMG:http://forum.php.pl/style_emoticons/default/questionmark.gif) ?

Ten post edytował Bartfoket 24.03.2007, 14:02:29

[kossa]

To są rżne funkcje każda z nicm ma określone zadanie. Stosuj je razem.

Łukasz

[Michal2000]

Witam, chciałbym się spytać czy htmlspecialchars wystarczy do zabezpieczenia formularzy (jeżeli nie, to podajcie jakie funkcje jeszcze i czy htmlspecialchars = strip_tags & stripslashes (IMG:http://forum.php.pl/style_emoticons/default/questionmark.gif) ?

To są rżne funkcje każda z nicm ma określone zadanie. Stosuj je razem.

Łukasz

htmlspecialchars() - Zmienia wszystkie znaki specjalne w kodzie HTML na ich nic nie znaczące odpowiedniki:

* '&' (ampersand) becomes '&'
* '"' (double quote) becomes '"' when ENT_NOQUOTES is not set.
* ''' (single quote) becomes ''' only when ENT_QUOTES is set.
* '<' (less than) becomes '&lt;'
* '>' (greater than) becomes '&gt;'

Zabepizecza przed atakimi XSS

strip_tags - Usuwa wszystkie tagi HTML

stripslashes - A ta funkcja usuwa ukosniki, jakie dodaje funkcja addsalshes lub jakie sa dodawane gdy wlaczony jest parametr 'magic quotes'. I tej funkcji NIE "Stosuj je razem". Bo stosujac ją w nieodpowiedni sposób narażasz się na ataki SQL Injection. jeżeli chcesz sie zabezpieczyć przed tego typu atakami przed wykonaniem zapytania na zmiennych użyj funkcji addslashes a zmienna w zapytaniu sql omieść w cudzysłowach.

Ten post edytował Michal2000 24.03.2007, 15:18:16