|
|
|
| Всем привет...
Подскажите пожалуйста.
хочу считывать большой текст информации с textarea и хранить его в бд.
Потскажите какие способы защиты нужно применить что бы защититься от взлома.
Какие символы запретить и т.д.
Функции htmlspecialchars как я понимаю будет не достаточно. Или я не прав???
Зарание благодарен. :) | |
|
|
|
|
|
|
|
для: HaVV
(14.07.2007 в 21:30)
| | а что вы с этмим объемом будете делать? addslashes() точно надо при magic_quotes_gpc = off | |
|
|
|
|
|
|
|
для: bronenos
(14.07.2007 в 21:45)
| | в дальнейщем этот текст будут сохраняться в бд, а далее выводиться на экран. Обьём не громаден около 1000-2000 символов... Функции addslashes() будет достаточно??? | |
|
|
|
|
|
|
|
для: HaVV
(14.07.2007 в 21:48)
| | при занесении в базу mysql_escape_string(), при выводе htmlspecialchars() | |
|
|
|
|
|
|
|
для: bronenos
(14.07.2007 в 23:18)
| | Спасибо большое... | |
|
|
|
|
|
|
|
для: HaVV
(14.07.2007 в 21:30)
| | При обработке данных, предназначенных для формирования SQL-запросов, следует ориентироваться на состояние директивы magic_quotes_gpc конфигурационного файла php.ini, если директива включена, GET, POST, COOKIE данные можно не экранировать, если отключена - следует экранировать.
<?php
if (!get_magic_quotes_gpc())
{
$_GET['text'] = addslashes($_GET['text']);
}
?>
|
Иногда используют другой подход, убирают экранирование при помощи stripslashes(), если включены "магические кавычки", а затем все данные подвергают экранированию при помощи addslashes()
<?php
if (get_magic_quotes_gpc())
{
$_GET['text'] = stripslashes($_GET['text']);
}
$_GET['text'] = addslashes($_GET['text']);
?>
|
PS Без учёта get_magic_quotes_gpc() использование функций stripslashes() и addslashes() перед помещением в базу данных GET, POST, COOKIE данных бессмысленно, по крайней мере до появления PHP 6, где механизм "магических кавычек" будет исключён.
http://www.softtime.ru/forum/read.php?id_forum=1&id_theme=40528 | |
|
|
|