 |
|
Модераторы: skyboy, MoLeX, Aliance, ksnk |
 
|
|
Насколько важны для безопасности символы \n \r 
| phpsc |
|
|||
|
Бывалый  Профиль Группа: Участник Сообщений: 234 Регистрация: 22.11.2010 Репутация: нет Всего: 0 |
Насколько важны для безопасности символы \n \r в функции mysql_real_escape_string?
--------------------
Социальная сеть |
|||
|
||||
Загрузка ...
| skyboy |
|
|||
|
неОпытный Профиль Группа: Модератор Сообщений: 9820 Регистрация: 18.5.2006 Где: Днепропетровск Репутация: 75 Всего: 260 |
 чё? что ты имел в виду? что за "безопасность в функции mysql_real_escape_string"? |
|||
|
||||
| phpsc |
|
|||
|
Бывалый Профиль Группа: Участник Сообщений: 234 Регистрация: 22.11.2010 Репутация: нет Всего: 0 |
записыываем текст в textarea
прогоняем через nl2br прогоняем через mysql_real_escape_string удаляюем все \n \r и только после этого текст из textarea попадает в БД mysql. sql-injection возможна? --------------------
Социальная сеть |
|||
|
||||
| Shark |
|
||||||
 Опытный Профиль Группа: Участник Сообщений: 703 Регистрация: 18.6.2006 Где: Москва Репутация: 4 Всего: 4 |
phpsc, mysql_real_escape_string() - эта функция все экранирует! апострофы ', кавычки ", как бы юзвер не старался написать хотя бы
этот код не сработает, так как он в БД запишется так:
а еще рекомендую тебе при записи в БД удалять символы ", ', <, > после удаления в БД будет записана такая строка:
Это сообщение отредактировал(а) Shark - 23.1.2011, 17:30 |
||||||
|
|||||||
| skyboy |
|
||||||
|
неОпытный Профиль Группа: Модератор Сообщений: 9820 Регистрация: 18.5.2006 Где: Днепропетровск Репутация: 75 Всего: 260 |
ничего подобного. это он в запросе будет включен так:
вместо
Но второй вариант не означает "взлом". Просто запрос стал синтаксически неверным и при попытке выполнения выдаст ошибку. И вообще, не путай sql injection с XSS-уязвимостью! phpsc, не будет sql injection, mysql_real_escape_string защищает. |
||||||
|
|||||||
| phpsc |
|
|||
|
Бывалый Профиль Группа: Участник Сообщений: 234 Регистрация: 22.11.2010 Репутация: нет Всего: 0 |
вот, наконец то хоть кто то ответил мне на эту тему=)
Это если не использовать знаки < > то как же тогда пользователи будут размещать исходные коды своих программ на сайте? А при выводе инфы из БД, нужно прогнать через htmlspecialchars($var,ENV_NOQUOTES) и преобразовать bb-коды в html. --------------------
Социальная сеть |
|||
|
||||
| gta4kv |
|
|||
 Walking around mad. Профиль Группа: Завсегдатай Сообщений: 1868 Регистрация: 25.7.2006 Репутация: 21 Всего: 91 |
Зачем вырезать < >, " и прочее? Да мало ли что юзер хочет написать. htmlspecialchars & *_real_escape_string.
Это сообщение отредактировал(а) gta4kv - 24.1.2011, 16:20 |
|||
|
||||
|
|
| Правила форума "PHP" | |
|
|
Новичкам:
Важно:
Внимание:
Если Вам понравилась атмосфера форума, заходите к нам чаще! С уважением, IZ@TOP, skyboy, SamDark, MoLeX, awers. |
| 1 Пользователей читают эту тему (1 Гостей и 0 Скрытых Пользователей) | |
| 0 Пользователей: | |
| « Предыдущая тема | PHP: Общие вопросы | Следующая тема » |
[ Время генерации скрипта: 0.0945 ] [ Использовано запросов: 21 ] [ GZIP включён ]
Реклама на сайте Информационное спонсорство
|
|
По вопросам размещения рекламы пишите на vladimir(sobaka)vingrad.ru
Отказ от ответственности Powered by Invision Power Board(R) 1.3 © 2003 IPS, Inc. |