| |
|
|
| | Достаточная ли защита для textarea :
$msg = htmlspecialchars($_POST['msg']);
|
или желательно может чтото еще к этому методу ? | |
| |
|
|
| |
|
|
| |
для: sidPR
(02.02.2007 в 01:44)
| | | Если выводишь в браузер то достаточно, если сохраняешь в базе то проверить включена ли опция дополнительного добавления магических кавычек и если нет то добавить их (кавычки ) | |
| |
|
|
| |
|
|
| |
для: sidPR
(02.02.2007 в 01:44)
| | | Если будешь добавлять в базу, то имеет смысл делать так:
<?php
$msg = nl2br($_POST['msg'])
if (!get_magic_quotes_gpc())
{
$msg = mysql_escape_string($msg);
}
?>
|
| |
| |
|
|
| |
|
|
| |
для: Boss
(02.02.2007 в 08:29)
| | | а что такое get_magic_quotes_gpc ? | |
| |
|
|
| |
|
|
| |
для: sidPR
(02.02.2007 в 14:53)
| | | Функция возвращает 1 или 0 в зависимости от того, включены ли магические кавычки или нет | |
| |
|
|
| |
|
|
| |
для: kasmanaft
(02.02.2007 в 16:19)
| | | а если человек пишет цитату в ковычках а у него потом выводится сообщение мол такого рода
цитирую \\\'sdasdasdas\\\' =)
|
или :
цитирую \\"sdasdasdsa\\" ;
|
как быть.? или при выводе из базы не будет их ? | |
| |
|
|
| |
|
|
| |
для: sidPR
(02.02.2007 в 16:23)
| | | При выводе можно будет использовать ф-ю stripslashes - она отрежет только те слеши, которые были добавлены ф-ей mysql_escape_string | |
| |
|
|
| |
|
|
| |
для: kasmanaft
(02.02.2007 в 16:53)
| | | Спасибо Boss , kasmanaft теперь я надеюсь защитив все POST И GET запросы таким методом избавлюсь от XSS атак | |
| |
|
|
