Форум: Форум PHPФорум ApacheФорум Регулярные ВыраженияФорум MySQLHTML+CSS+JavaScriptФорум FlashРазное
Новые темы: 0000000
PHP 5/6. В подлиннике. Авторы: Кузнецов М.В., Симдянов И.В. PHP. Практика создания Web-сайтов (второе издание). Авторы: Кузнецов М.В., Симдянов И.В. Самоучитель MySQL 5. Авторы: Кузнецов М.В., Симдянов И.В. Самоучитель PHP 5 / 6 (3 издание). Авторы: Кузнецов М.В., Симдянов И.В. PHP на примерах (2 издание). Авторы: Кузнецов М.В., Симдянов И.В.
ВСЕ НАШИ КНИГИ
Консультационный центр SoftTime

Форум PHP

Выбрать другой форум

 

Здравствуйте, Посетитель!

вид форума:
Линейный форум Структурный форум

тема: обработка текста перед помещением его в базу данных
 
 автор: HaVV   (14.07.2007 в 21:30)   письмо автору
 
 

Всем привет...
Подскажите пожалуйста.
хочу считывать большой текст информации с textarea и хранить его в бд.
Потскажите какие способы защиты нужно применить что бы защититься от взлома.
Какие символы запретить и т.д.
Функции htmlspecialchars как я понимаю будет не достаточно. Или я не прав???

Зарание благодарен. :)

   
 
 автор: bronenos   (14.07.2007 в 21:45)   письмо автору
 
   для: HaVV   (14.07.2007 в 21:30)
 

а что вы с этмим объемом будете делать? addslashes() точно надо при magic_quotes_gpc = off

   
 
 автор: HaVV   (14.07.2007 в 21:48)   письмо автору
 
   для: bronenos   (14.07.2007 в 21:45)
 

в дальнейщем этот текст будут сохраняться в бд, а далее выводиться на экран. Обьём не громаден около 1000-2000 символов... Функции addslashes() будет достаточно???

   
 
 автор: bronenos   (14.07.2007 в 23:18)   письмо автору
 
   для: HaVV   (14.07.2007 в 21:48)
 

при занесении в базу mysql_escape_string(), при выводе htmlspecialchars()

   
 
 автор: HaVV   (14.07.2007 в 23:34)   письмо автору
 
   для: bronenos   (14.07.2007 в 23:18)
 

Спасибо большое...

   
 
 автор: cheops   (15.07.2007 в 09:53)   письмо автору
 
   для: HaVV   (14.07.2007 в 21:30)
 

При обработке данных, предназначенных для формирования SQL-запросов, следует ориентироваться на состояние директивы magic_quotes_gpc конфигурационного файла php.ini, если директива включена, GET, POST, COOKIE данные можно не экранировать, если отключена - следует экранировать.
<?php
  
if (!get_magic_quotes_gpc())
  {
    
$_GET['text'] = addslashes($_GET['text']);
  }
?>

Иногда используют другой подход, убирают экранирование при помощи stripslashes(), если включены "магические кавычки", а затем все данные подвергают экранированию при помощи addslashes()
<?php
  
if (get_magic_quotes_gpc())
  {
    
$_GET['text'] = stripslashes($_GET['text']);
  }
  
$_GET['text'] = addslashes($_GET['text']);
?>

PS Без учёта get_magic_quotes_gpc() использование функций stripslashes() и addslashes() перед помещением в базу данных GET, POST, COOKIE данных бессмысленно, по крайней мере до появления PHP 6, где механизм "магических кавычек" будет исключён.

http://www.softtime.ru/forum/read.php?id_forum=1&id_theme=40528

   
Rambler's Top100
вверх

Rambler's Top100 Яндекс.Метрика Яндекс цитирования