Главная страницаСоздание сайтовБлог Кузнецова М.В.Статьи о PHPPHP-скриптыСтатьи об ApacheФорум С++КонсультацииФорум "Про Жизнь"
Форум: Форум PHPФорум ApacheФорум Регулярные ВыраженияФорум MySQLHTML+CSS+JavaScriptФорум FlashРазное
Новые темы: 0000000
PHP 5/6. В подлиннике. Авторы: Кузнецов М.В., Симдянов И.В. PHP 5. На примерах. Авторы: Кузнецов М.В., Симдянов И.В., Голышев С.В. C++. Мастер-класс в задачах и примерах. Авторы: Кузнецов М.В., Симдянов И.В. Программирование. Ступени успешной карьеры. Авторы: Кузнецов М.В., Симдянов И.В. Самоучитель MySQL 5. Авторы: Кузнецов М.В., Симдянов И.В.
ВСЕ НАШИ КНИГИ 		Консультационный центр SoftTime

Форум PHP
Вход  Регистрация  Список форумов  Живой форум  Архив  RSS-канал  Правила форума  Участники "Online"  Все участники

Выбрать другой форум

 

Здравствуйте, Посетитель!

 Новая тема

 Поиск

  Список тем

вид форума:
Линейный форум Структурный форум

тема: Безопастна ли вот такая защита?

следующая тема
 
 автор: mc -aiZer-   (15.05.2007 в 04:16)   письмо автору
  
 

ДО занесения в БД данные обрабатываются таким образом:

<?php
$_POST['value'] = htmlspecialchars(mysql_escape_string(trim($_POST['value'])));


Безопастно ли это во всех случаев, при любых настройках сервера или нет? Защищает ли это от XSS-уязвимостей, SQL-иньекций и т.д.?

   
 
 автор: Trianon   (15.05.2007 в 09:37)   письмо автору
  
   для: mc -aiZer-   (15.05.2007 в 04:16)
 

см. http://softtime.ru/forum/read.php?id_forum=1&id_theme=37378

   
 
 автор: cheops   (15.05.2007 в 21:28)   письмо автору
  
   для: mc -aiZer-   (15.05.2007 в 04:16)
 

Нет, mysql_escape_string() следует использовать совместно с функцией get_magic_quotes_gpc()
<?php
  if (!get_magic_quotes_gpc())
  {
    $_POST['value'] = mysql_escape_string($_POST['value']);
  }
?>

   
Rambler's Top100
вверх

Rambler's Top100 Яндекс.Метрика Яндекс цитирования