|
| |
|
|
| |
для: Spayker
(13.10.2006 в 23:05)
| | | При помощи функции get_magic_quotes_gpc() - если режим отключён у вас блок if() выполняется и защита при помощи strip_tags(), если режим отключён блок if не выполняется и переменные $user_mail, $email, $userstring и $stat остаются не инициализироваными. | |
| |
|
|
| |
|
|
| |
для: cheops
(13.10.2006 в 23:02)
| | | Как узнать включён этот режим или нет? | |
| |
|
|
| |
|
|
| |
для: kasmanaft
(13.10.2006 в 22:14)
| | | Я знаю функцию htmlspecialchars и что она делает. Я имею ввиду, что если использовать strip_tags при входе, тоесть никакие тэги ни как не могут попасть в базу, то htmlspecialchars уже при выводе не обязательно использовать или функция strip_tags всё таки пропускает тэги? | |
| |
|
|
| |
|
|
| |
для: Spayker
(13.10.2006 в 20:38)
| | | Функция strip_tags() в строках вида
<?php
if strip_tags((empty($_POST['userstring']))) die('Вы ничего не написали!');
?>
|
явно лишняя, так как ничего не делает. С другой стороны переменные $user_mail, $email, $userstring и $stat будут обработаны функцией strip_tags(), только если на сервере отключён режим "магических кавычек", более того если такой режим включён - они вообще останутся не определёнными. | |
| |
|
|
| |
|
|
| |
для: Spayker
(13.10.2006 в 21:15)
| | | Для этого и нужен, чтобы никакие тэги не воспринимались как тэги ...
А использовать его лучше при выводе ... | |
| |
|
|
| |
|
|
| |
для: kasmanaft
(13.10.2006 в 21:06)
| | | Вывода нет, это рассылка. А зачем htmlspecialchars, если при вводе он убивает все тэги? | |
| |
|
|
| |
|
|
| |
для: Spayker
(13.10.2006 в 20:53)
| | | Ну вопщем да, можно было бы даже без strip_tags обойтись ... только при выводе не забывайте о htmlspecialchars | |
| |
|
|
| |
|
|
| |
для: kasmanaft
(13.10.2006 в 20:44)
| | | Это да, я просто прям здесь подставил strip_tags поэтому не правильно :) Спасибо. Ну а так вообщем ничего лишнего? и безопасно это? | |
| |
|
|
| |
|
|
| |
для: Spayker
(13.10.2006 в 20:38)
| | | Вот ето
strip_tags((empty($_POST['userstring'])))
|
следовало бы написать так:
empty(strip_tags($_POST['userstring']))
- * - * - * - * -
|
вконце убрать точку с запятой
if ($_POST['userstring'] == $_SESSION['string']);
|
| |
| |
|
|
| |
|
|
| | Хочу узнать, не слишком ли много я тут всего понаписал, всмысле strip_tags итд или что то можно убрать, но эффект тот же самый? Информацию вводит пользователь и потом она попадает в БД.
<?php
if(!preg_match("/^[-0-9a-z_]+@[-0-9a-z_^\.]+\.[a-z]{2,6}$/i",$email))
{
exit("Пожалуйста, введите e-mail в формате name@yourmail.ru");
}
if strip_tags((empty($_POST['userstring']))) die('Вы ничего не написали!');
if strip_tags((empty($_POST['user_mail']))) die('Введите имя!');
if strip_tags((empty($_POST['email']))) die('Введите email!');
if ($_POST['userstring'] !== $_SESSION['string']) die ('Строка введена не верно');
if ($_POST['userstring'] == $_SESSION['string']);
if (!get_magic_quotes_gpc())
{
$user_mail = strip_tags(mysql_escape_string($_POST["user_mail"]));
$email = strip_tags(mysql_escape_string($_POST["email"]));
$userstring = strip_tags(md5((mysql_escape_string($_POST["userstring"])));
$stat = strip_tags(mysql_escape_string($_POST["stat"]));
}
?>
|
| |
| |
|
|
|
