Autor | Zpráva | ||
---|---|---|---|
Jendak Profil * |
#1 · Zasláno: 28. 6. 2012, 18:44:16 · Upravil/a: Jendak
Zdravim,
mohli by jste mi prosím poradit, jaké funkce používat pro ošetření zápisu do DB (konkrétně MySQL) a jaké při výstupu? Na internetu je toho docela dost, ale nic ne pohromadě, a tak to nechci patlat sám na koleně, aby pak neměl ty funkce jakoby dublované. Taky nevím, jestli mám nějak ošetřovat proměnné v dotazech typu: SELECT * FROM tabulka WHERE jmeno = $jmeno Chci ošetřit všechny možné druhy hacků, které souvisí s DB a nebo by mohli nějak rozhodit stránky. Stačí napsat třeba: htmlspecialchars() u výstupu; tuhle a tuhle funkci u vstupu apod... Díky všem :) |
||
Alphard Profil |
#2 · Zasláno: 28. 6. 2012, 18:53:06
Jendak:
„ale nic ne pohromadě,“ http://phpfashion.com/escapovani-definitivni-prirucka Do MySQL: čísla explicitně na čísla, stringy mysql_real_escape_string(). Výstup nelze říct obecně, záleží na kontextu. |
||
Joker Profil |
#3 · Zasláno: 28. 6. 2012, 18:54:09
|
||
Jendak Profil * |
#4 · Zasláno: 28. 6. 2012, 19:20:23
Alphard:
„Výstup nelze říct obecně, záleží na kontextu.“ Jde o obyčejný text, prostě třeba nějakej komentář nebo příspěvek = tzn. co se napíše, by se mělo i stejně vypsat, akorát tak, aby to nedělalo neplechu :) |
||
Enko Profil * |
#5 · Zasláno: 28. 6. 2012, 23:44:00
Jendak:
„tzn. co se napíše, by se mělo i stejně vypsat, akorát tak, aby to nedělalo neplechu :)“ Tak minimálně přes htmlspecialchars() |
||
SIFLER Profil |
Dle mého názoru bohatě stačí
$promena = htmlspecialchars($promena, ENT_QUOTES); |
||
Alphard Profil |
#7 · Zasláno: 29. 6. 2012, 14:10:31
|
||
Časová prodleva: 12 let
|
0