Autor Zpráva
Jendak
Profil *
Zdravim,
mohli by jste mi prosím poradit, jaké funkce používat pro ošetření zápisu do DB (konkrétně MySQL) a jaké při výstupu? Na internetu je toho docela dost, ale nic ne pohromadě, a tak to nechci patlat sám na koleně, aby pak neměl ty funkce jakoby dublované. Taky nevím, jestli mám nějak ošetřovat proměnné v dotazech typu:
SELECT *
FROM tabulka
WHERE jmeno = $jmeno

Chci ošetřit všechny možné druhy hacků, které souvisí s DB a nebo by mohli nějak rozhodit stránky.


Stačí napsat třeba: htmlspecialchars() u výstupu; tuhle a tuhle funkci u vstupu apod... Díky všem :)
Alphard
Profil
Jendak:
ale nic ne pohromadě,
http://phpfashion.com/escapovani-definitivni-prirucka

Do MySQL: čísla explicitně na čísla, stringy mysql_real_escape_string().
Výstup nelze říct obecně, záleží na kontextu.
Joker
Profil
Viz Escapování - definitivní příručka
Jendak
Profil *
Alphard:
Výstup nelze říct obecně, záleží na kontextu.
Jde o obyčejný text, prostě třeba nějakej komentář nebo příspěvek = tzn. co se napíše, by se mělo i stejně vypsat, akorát tak, aby to nedělalo neplechu :)
Enko
Profil *
Jendak:
tzn. co se napíše, by se mělo i stejně vypsat, akorát tak, aby to nedělalo neplechu :)
Tak minimálně přes htmlspecialchars()
SIFLER
Profil
Dle mého názoru bohatě stačí

$promena = htmlspecialchars($promena, ENT_QUOTES);
Alphard
Profil
[#4][#5][#6]
Závisí to na kontextu, jestli ten článek nechápete, tak už nevím, jak vás to vysvětlit.

Vaše odpověď

Mohlo by se hodit


Prosím používejte diakritiku a interpunkci.

Ochrana proti spamu. Napište prosím číslo dvě-sta čtyřicet-sedm: