Autor | Zpráva | ||
---|---|---|---|
Xperia Profil |
#1 · Zasláno: 30. 4. 2013, 18:30:53
Ahoj :)
Představte si klasický formulář, např. textareu s ckeditorem a další inputy(text). Nyní přemýšlím jak to zabezpečit... Napadá mě ošetřit to pouze mysql_real_escape_string a uložit do databáze a naopak, při výstupu na web ošetřit dle situace např. na inputy (text) hodit čistý strip_tags, protože např. v telefonním čísle nepotřebuji a ani nechci žádné tagy, naopak u textarey ano - kde by byly skrz argumenty strip_tags ovlivněny pouze žádané html tagy? Nebo máte jiný názor? Co používáte právě vy? Jsem stále začátečník a chci se naučit to nejlepší :) Díkes a užijte si večer a volný zítřejší den :) |
||
Lamicz Profil |
#2 · Zasláno: 30. 4. 2013, 20:50:45
HTML Purifier - je to velký a relativně pomalý, ale funkční
|
||
Davex Profil |
#3 · Zasláno: 1. 5. 2013, 00:25:56
Xperia:
Běžnému začátečníkovi by mělo stačit naučit se správně escapovat podle http://phpfashion.com/escapovani-definitivni-prirucka a pročíst si téma Zhrnutie základnej ochrany webu. |
||
Xperia Profil |
#4 · Zasláno: 1. 5. 2013, 12:57:08
Tak jinak, nevím si rady. Mám CKEditor, který mi generuje HTML kód. Jak zabezpečit tento vstup aby v něm nešel spustit např. <SCRIPT>
Nebo abych pak ve zdrojovém kódu neviděl <?php echo "TEST"; ?> ? Potřebuji aby výstup v textarey se zobrazil tak, jak tom editoru. Stránky výše uvedené jsou fajn ale bez příkladu. Nyní to řeším tak, že vstupy projedu funkcí, která vyhledává žádané spojení <?PHP <? <SCRIPT atd. ale to se mi zdá zbytečně náročné |
||
Davex Profil |
#5 · Zasláno: 2. 5. 2013, 21:08:03
Xperia:
„Jak zabezpečit tento vstup“ Vstup zabezpečíš na dvou místech 1) při ukládání do databáze pomocí funkce mysql_real_escape_string() nebo pomocí odpovídající funkce v MySQLi nebo PDO (podle toho co používáš)
2) při výpisu na stránku pomocí funkce htmlspecialchars()
|
||
Časová prodleva: 11 let
|
0