| |
|
|
| | Пользователю предлагается изменить его адрес.
В таблице выводим адрес из БД.
<form name="add" method='post' action='pu_add.php' enctype="multipart/form-data">
<td><b>Наш адрес:</b></td>
<td>
<textarea name="address" id="text" cols="80" rows="3"><?php echo $_GET['address']; ?></textarea>
</td>
|
В обработчике мы получаем
if (isset($_POST['address'])) {$address = $_POST['address']; if ($address == '') {unset ($address);}}
как проверять на вредность? Где ставить защиту в первом или в обработчике? | |
| |
|
|
| |
|
|
| |
для: Василий
(05.01.2012 в 16:37)
| | | >как проверять на вредность? Где ставить защиту в первом или в обработчике?
На вредность от чего и защиту от чего? Куда пойдет введенный текст? | |
| |
|
|
| |
|
|
| |
для: cheops
(05.01.2012 в 19:21)
| | | введенный текст идет в базу данных
нужно защить базу данных от нежелательных запросов, которые возможны при вводе данных | |
| |
|
|
| |
|
|
| |
для: Василий
(05.01.2012 в 19:34)
| | | Перед вставкой данных в базу данных, целочисленные значения лучше пропускать через функцию intval()
<?php
$_GET['id'] = intval($_GET['id']);
?>
|
Строковые нужно экранировать (причем учитывать экранирует ли их сервер).
<?php
if (!get_magic_quotes_gpc())
{
$_GET['text'] = mysql_escape_string($_GET['text']);
}
?>
|
при извлечении данных из базы данных, их следует пропускать через функцию htmlspecialchars(), чтобы предотвратить XSS-инъекции. | |
| |
|
|
| |
|
|
| |
для: cheops
(05.01.2012 в 20:10)
| | | ТОгда так
первая проверка:
if (isset($_POST['title'])) {$title = $_POST['title']; if ($title == '') {unset ($title);} }
if (isset($_POST['id_pu'])) {$id_pu = $_POST['id_pu']; if ($id_pu == '') {unset ($id_pu);}}
|
вторая проверка:
$_GET['id_pu'] = intval($_GET['id_pu']);
$_GET['title'] = mysql_escape_string($_GET['title']);
|
потом заносим в БД
$result = mysql_query ("insert pu SET title='$title', id_pu=" . mysql_real_escape_string($id_pu) . "
|
Правильно? | |
| |
|
|
| |
|
|
| |
для: Василий
(05.01.2012 в 20:24)
| | | Если режим "магических кавычек" на сервере отключен, а код не будет использоваться на других серверах, где он может быть включен, да, правильно. | |
| |
|
|
| |
|
|
| |
для: cheops
(05.01.2012 в 20:27)
| | | как узнать включен ли режим "магических кавычек" на сервере? | |
| |
|
|
| |
|
|
| |
для: Василий
(05.01.2012 в 20:34)
| | | почему Вы не предложили целочисленные значения пропускать через функцию mysql_escape_string? | |
| |
|
|
| |
|
|
| |
для: Василий
(05.01.2012 в 20:35)
| | | mysql_escape_string() экранирует кавычки, после того, как вы пропустите целочисленное значение через функцию intval() там останутся только цифры - нечего экранировать... можете пропустить и их через mysql_escape_string() для единообразия, но это лишняя работа. | |
| |
|
|
| |
|
|
| |
для: Василий
(05.01.2012 в 20:34)
| | | >как узнать включен ли режим "магических кавычек" на сервере?
Для этого используется функция get_magic_quotes_gpc() - она возвращает true, если режим включен, и false в противном случае. | |
| |
|
|
| |
|
|
| |
для: cheops
(05.01.2012 в 20:38)
| | | вот достаточно будет узнать?
<?php
echo get_magic_quotes_gpc(); ?>
|
| |
| |
|
|
| |
|
|
| |
для: Василий
(05.01.2012 в 20:48)
| | | В общем да... только false - это преобразуется в пустую строку, может быть не удобно следить. Немного выше приведена конструкция типичного использования этой функции
<?php
if (!get_magic_quotes_gpc())
{
$_GET['text'] = mysql_escape_string($_GET['text']);
}
?>
|
Расшифровывается это так - если режим отключен - осуществляем экранирование, если включен - ничего не делаем. | |
| |
|
|
| |
|
|
| |
для: cheops
(05.01.2012 в 20:51)
| | | если мы
первая проверка:
if (isset($_POST['title'])) {$title = $_POST['title']; if ($title == '') {unset ($title);} }
if (isset($_POST['id_pu'])) {$id_pu = $_POST['id_pu']; if ($id_pu == '') {unset ($id_pu);}}
|
вторая проверка:
$_GET['id_pu'] = intval($_GET['id_pu']);
$_GET['title'] = mysql_escape_string($_GET['title']);
|
потом заносим в БД
$result = mysql_query ("insert pu SET title='$title', id_pu=" . mysql_real_escape_string($id_pu) . "
|
то не пойму для чего вторая проверка? $_GET['id_pu'], $_GET['title'] никак не используется при внесении в базу | |
| |
|
|
| |
|
|
| |
для: Василий
(05.01.2012 в 21:15)
| | | всё надо к месту проверять/экранировть/всячески обрабатывать
если у Вас данные из массива get не идут в базу, то и не надо их обрабатывать mysql_real_escape_string()
если Вы получаете в get данные от пользователя и хотите вывести их на странице, то возможно будет достаточно обработать функцией htmlspecialchars() если это строки и intval() если это число
<?php
// для вывода в браузер, это касается и данных из БД, которые вносил туда пользователь
$title = isset($_GET['title']) ? htmlspecialchars($_GET['title']) : null;
// для записи в БД
$title = isset($_POST['title']) ? mysq_real_escape_string($_POST['title']) : null; // или то значение, которое по умолчанию назначено полю в БД
// хотя я делаю обработку прямо в запросе к БД,
$query = sprintf("INSERT INTO `table` (`title`) VALUES('%s')", mysql_real_escape_string($title));
|
| |
| |
|
|
