Autor Zpráva
Xperia
Profil
Ahoj :)
Představte si klasický formulář, např. textareu s ckeditorem a další inputy(text).
Nyní přemýšlím jak to zabezpečit...
Napadá mě ošetřit to pouze mysql_real_escape_string a uložit do databáze a naopak, při výstupu na web ošetřit dle situace např. na inputy (text) hodit čistý strip_tags, protože např. v telefonním čísle nepotřebuji a ani nechci žádné tagy, naopak u textarey ano - kde by byly skrz argumenty strip_tags ovlivněny pouze žádané html tagy?

Nebo máte jiný názor? Co používáte právě vy? Jsem stále začátečník a chci se naučit to nejlepší :) Díkes a užijte si večer a volný zítřejší den :)
Lamicz
Profil
HTML Purifier - je to velký a relativně pomalý, ale funkční
Davex
Profil
Xperia:
Běžnému začátečníkovi by mělo stačit naučit se správně escapovat podle http://phpfashion.com/escapovani-definitivni-prirucka a pročíst si téma Zhrnutie základnej ochrany webu.
Xperia
Profil
Tak jinak, nevím si rady. Mám CKEditor, který mi generuje HTML kód. Jak zabezpečit tento vstup aby v něm nešel spustit např. <SCRIPT>
Nebo abych pak ve zdrojovém kódu neviděl <?php echo "TEST"; ?> ?
Potřebuji aby výstup v textarey se zobrazil tak, jak tom editoru. Stránky výše uvedené jsou fajn ale bez příkladu.
Nyní to řeším tak, že vstupy projedu funkcí, která vyhledává žádané spojení <?PHP <? <SCRIPT atd. ale to se mi zdá zbytečně náročné
Davex
Profil
Xperia:
Jak zabezpečit tento vstup
Vstup zabezpečíš na dvou místech

1) při ukládání do databáze pomocí funkce mysql_real_escape_string() nebo pomocí odpovídající funkce v MySQLi nebo PDO (podle toho co používáš)
2) při výpisu na stránku pomocí funkce htmlspecialchars()

Vaše odpověď

Mohlo by se hodit


Prosím používejte diakritiku a interpunkci.

Ochrana proti spamu. Napište prosím číslo dvě-sta čtyřicet-sedm: