Forum PHP.pl

czy przy wprowadzaniu danych do bazy ta funkcja:

[PHP] pobierz, plaintext 
<?php
protected function EscapeData ($data) {
		global $db;
		if (ini_get('magic_quotes_gpc')) {
			$data = stripslashes($data);
		}
 
		return $db->real_escape_string($data);
	}
?>
[PHP] pobierz, plaintext 

powinna miec tam gdzie jest stripslashes czy moze addslashes?

stripslashes

Ta funkcja sprawdza, czy jest włączone magic_quotes , i jeśli jest, to usuwa slashe które normalnie magic quotes dodają

aha dzieki

w takim razie jezeli $data jest wartoscia z formularza trafiajaca do bazy to skrypt:

[PHP] pobierz, plaintext 
<?php 
protected function EscapeData ($data) {
		global $db;
		if (ini_get('magic_quotes_gpc')) {
			$data = stripslashes($data);
		}
 
		$data = $db->real_escape_string($data);
		$data = htmlspecialchars($data);
		$data = strip_tags($data);
 
		return $data;
	}
?>
[PHP] pobierz, plaintext 

jest wystarczajacym zabezpieczeniem danych trafiajacych do bazy z formularza? moze cos tam jest zbedne lub zle?

przy zapytaniu SQL masz string ($data) wzięty w pojedyncze cudzysłowy ? (w którejś książce też wyczytałem, ze to jakoś zabezpiecza ...)

[PHP] pobierz, plaintext 
<?php
$query = "SELECT * FROM tabela WHERE kolumna = '$data'";
?>
[PHP] pobierz, plaintext 

Mi się wydaje, że chyba dobrze zabezpieczyłeś

Zniwelowałeś działanie magic_quotes (które już wiele serwerów wyłączyło z powodów bezpieczeństwa), potem real_escape ...


PS. zmienne globalne nie są zbyt bezpieczne (podobno...)

Ten post edytował barat 15.08.2007, 23:42:40

ok dzieki, czyli te wszystkie funkcje przez ktore przechodzi $data są niezbędne/do czegoś się przydadzą...

Ten post edytował hhg 15.08.2007, 23:57:05