Autor | Zpráva | ||
---|---|---|---|
laijk Profil |
#1 · Zasláno: 29. 8. 2012, 14:03:50
Ahojte, neviem ako mám ošetriť formuláre, nenašiel som o tom žiaden dobrý článok, napr. funkcia htmlspecialchars - keď som ju skúsil na localhoste a skúsil som poslať cez formulár tagy "<u></u>" tak mi to vypísalo podčiarknuté písmená
|
||
Šéva Profil |
#2 · Zasláno: 29. 8. 2012, 14:14:34
Ahoj,
toto se tu probíralo už mnohokrát, nicméně opakování je matka moudrosti... hlavně si pročti Alpharduv odkaz Ošetření vstupu u formuláře a další |
||
laijk Profil |
#3 · Zasláno: 29. 8. 2012, 18:15:50
Ďakujem, chcem sa ešte opýtať keď vkladám do DB napr. pri registrácii meno a heslo, či to može byť ošetrené takto:
$login = trim($_POST['login']); $heslo = trim($_POST['heslo']); $login = mysql_real_escape_string($_POST['login']); $heslo = mysql_real_escape_string(sha1($_POST['heslo'])); |
||
Someone Profil |
#4 · Zasláno: 29. 8. 2012, 18:16:43
laijk:
Hash hesla nemusí být ošetrený funkcí mysql_real_escape_string. |
||
laijk Profil |
#5 · Zasláno: 29. 8. 2012, 18:32:29
Someone:
aha ok, ale ten trim používať všade? |
||
Keeehi Profil |
#6 · Zasláno: 29. 8. 2012, 18:44:16
laijk:
Ten trim ano. Ovšem není tam kvůli bezpečnosti ale kvůli uživatelovu pohodlí. Pokud třeba kopíruje heslo z emailu, v kterém mu přišlo, nemusí si dávat pozor, aby k tomu náhodou nepřikopíroval i mezeru. |
||
Alphard Profil |
#7 · Zasláno: 29. 8. 2012, 20:24:58
„Hash hesla nemusí být ošetrený funkcí mysql_real_escape_string.“
Konkrétně sha1() negeneruje nebezpečné znaky, ačkoliv mě teď nenapadá protipřípad, obecně to o hashi říct nejde. Naopak obecně doporučuji escapovat veškeré vstupy. Příklad [#3] je zcela správně, rozumné funkce jsou použité ve vhodném pořadí. Kdyby se pak login vypisoval v kontextu html, použije se htmlspecialchars($s, ENT_QUOTES) .
|
||
Časová prodleva: 12 let
|
0