|
|
|
| Насколько я понял, введенную в форму информацию полезно обрабатывать таким образом, что бы исключить возможность занесения на сайт скриптов, составленных злоумышленником под видом сообщения.
Мне известно два оператора, используемые для этой цели: strip_tags и htmlspecialchars.
Какой из них лучше?
А может быть, есть смысл использовать их оба поочередно? | |
|
|
|
|
|
|
|
для: Владимир55
(10.08.2009 в 17:29)
| | Лучше htmlspecialchars() - с ним вы видите проблему, strip_tags() может от вас её скрыть и вам будет сложнее понять, что произошло и в какую сторону двигаться, чтобы это не повторялось. | |
|
|
|
|
|
|
|
для: Владимир55
(10.08.2009 в 17:29)
| | strip_tags() тут вообще не поможет. Попробуйтк ввести в форму это:
"onMouseOver="alert(document.cookie)"
|
Тут нет ни одного тега... | |
|
|
|
|
|
|
|
для: Николай2357
(10.08.2009 в 22:24)
| | Результат вот такой:
\"onMouseOver=\"alert(document.cookie)\"
|
Это хорошо или плохо? | |
|
|
|
|
|
|
|
для: Владимир55
(10.08.2009 в 23:16)
| | Это плохо уже тем, что включена директива magic_quotes | |
|
|
|
|
|
|
|
для: Николай2357
(10.08.2009 в 23:26)
| | Вроде бы, Magic Quotes преподносилось как улучшение, повышающее безопасность.
Я могу его и отключить, но надо ли? | |
|
|
|
|
|
|
|
для: Владимир55
(10.08.2009 в 23:42)
| | Все без исключения перечисленные Вами функции декларировались источниками, как средства, направленные на "повышение безопасности". | |
|
|
|
|
|
|
|
для: Владимир55
(10.08.2009 в 23:42)
| | Я не знаю, надо ли... Если хочется кучи лишних бэкслэшей, то наверно не надо... только в какую кашу превратится такая запись: Mc''donalds, буде форма возвернута пару-тройку раз... | |
|
|
|