| Autor | Zpráva | ||
|---|---|---|---|
| Orlando Profil * |
#1 · Zasláno: 4. 11. 2011, 16:21:26
Ahoj, která možnost je správně?
htmlspecialchars(mysql_real_escape_string($_POST['email'])); nebo mysql_real_escape_string(htmlspecialchars($_POST['email'])); díky |
||
| Str4wberry Profil |
#2 · Zasláno: 4. 11. 2011, 16:26:52
Přijde na to, co je cílem.
|
||
| Orlando Profil * |
#3 · Zasláno: 4. 11. 2011, 16:38:29
Str4wberry
Při ukladani dat do mysql... |
||
| CZechBoY Profil |
#4 · Zasláno: 4. 11. 2011, 17:32:41
určitě to druhý, pač při výpisu voláš nejspíš jen StripSlashes
|
||
| Darker Profil |
#5 · Zasláno: 4. 11. 2011, 18:24:54 · Upravil/a: Darker
Orlando:
A není ti divné, že musíš nahrazovat html znaky za entity, když takové znaky do emailové adresy vůbec nepatří? Co takhle udělat kontrolu validity emailu? |
||
| Mastodont Profil |
#6 · Zasláno: 5. 11. 2011, 06:43:53
Funkci htmlspecialchars je zvykem používat na výstupu, i když by ji z výkonnostních důvodů bylo někdy lepší použít např. už při ukládání dat do databáze. Nedělá se to ze dvou důvodů – jednak by kvůli větší délce escapovaného textu mohl být řetězec zkrácen přesto, že uživatel maximální délku nepřekročil, a jednak by někdo do databáze mohl nestandardním způsobem vložit neošetřená data, která by při výpisu způsobila paseku.
http://php.vrana.cz/escapovani.php |
||
| Alphard Profil |
#7 · Zasláno: 5. 11. 2011, 10:08:09
CZechBoY:
„určitě to druhý, pač při výpisu voláš nejspíš jen StripSlashes“ Proč by to dělal? Jestli vám bez této funkce přebývají lomítka na výstupu, máte to špatně. |
||
|
Časová prodleva: 14 let
|
|||
0