Форум: Форум PHPФорум ApacheФорум Регулярные ВыраженияФорум MySQLHTML+CSS+JavaScriptФорум FlashРазное
Новые темы: 0000000
PHP. Практика создания Web-сайтов (второе издание). Авторы: Кузнецов М.В., Симдянов И.В. Программирование. Ступени успешной карьеры. Авторы: Кузнецов М.В., Симдянов И.В. PHP 5. На примерах. Авторы: Кузнецов М.В., Симдянов И.В., Голышев С.В. Самоучитель MySQL 5. Авторы: Кузнецов М.В., Симдянов И.В. Объектно-ориентированное программирование на PHP. Авторы: Кузнецов М.В., Симдянов И.В.
ВСЕ НАШИ КНИГИ
Консультационный центр SoftTime

Форум PHP

Выбрать другой форум

 

Здравствуйте, Посетитель!

вид форума:
Линейный форум Структурный форум

тема: strip_tags и htmlspecialchars: что лучше?
 
 автор: Владимир55   (10.08.2009 в 17:29)   письмо автору
 
 

Насколько я понял, введенную в форму информацию полезно обрабатывать таким образом, что бы исключить возможность занесения на сайт скриптов, составленных злоумышленником под видом сообщения.

Мне известно два оператора, используемые для этой цели: strip_tags и htmlspecialchars.
Какой из них лучше?

А может быть, есть смысл использовать их оба поочередно?

  Ответить  
 
 автор: cheops   (10.08.2009 в 17:45)   письмо автору
 
   для: Владимир55   (10.08.2009 в 17:29)
 

Лучше htmlspecialchars() - с ним вы видите проблему, strip_tags() может от вас её скрыть и вам будет сложнее понять, что произошло и в какую сторону двигаться, чтобы это не повторялось.

  Ответить  
 
 автор: Николай2357   (10.08.2009 в 22:24)   письмо автору
 
   для: Владимир55   (10.08.2009 в 17:29)
 

strip_tags() тут вообще не поможет. Попробуйтк ввести в форму это:
"onMouseOver="alert(document.cookie)"

Тут нет ни одного тега...

  Ответить  
 
 автор: Владимир55   (10.08.2009 в 23:16)   письмо автору
 
   для: Николай2357   (10.08.2009 в 22:24)
 

Результат вот такой:

\"onMouseOver=\"alert(document.cookie)\" 


Это хорошо или плохо?

  Ответить  
 
 автор: Николай2357   (10.08.2009 в 23:26)   письмо автору
 
   для: Владимир55   (10.08.2009 в 23:16)
 

Это плохо уже тем, что включена директива magic_quotes

  Ответить  
 
 автор: Владимир55   (10.08.2009 в 23:42)   письмо автору
 
   для: Николай2357   (10.08.2009 в 23:26)
 

Вроде бы, Magic Quotes преподносилось как улучшение, повышающее безопасность.
Я могу его и отключить, но надо ли?

  Ответить  
 
 автор: Trianon   (10.08.2009 в 23:47)   письмо автору
 
   для: Владимир55   (10.08.2009 в 23:42)
 

Все без исключения перечисленные Вами функции декларировались источниками, как средства, направленные на "повышение безопасности".

  Ответить  
 
 автор: Николай2357   (10.08.2009 в 23:58)   письмо автору
 
   для: Владимир55   (10.08.2009 в 23:42)
 

Я не знаю, надо ли... Если хочется кучи лишних бэкслэшей, то наверно не надо... только в какую кашу превратится такая запись: Mc''donalds, буде форма возвернута пару-тройку раз...

  Ответить  
Rambler's Top100
вверх

Rambler's Top100 Яндекс.Метрика Яндекс цитирования