Autor | Zpráva | ||
---|---|---|---|
Delegal Profil |
#1 · Zasláno: 24. 6. 2013, 18:19:38
Ahoj, mám malý problém.
Při ochraně zápisu do databáze před XSS používám ochranu: strip_tags, ale podle PHP.net je tato funkce blbá, zastaralá,... Proto jsem se rozhodl přejít na novou ochranu typu: htmlspecialchars(). Tu se vyskytl další problém... nedokážů tuto metodu správně aplikovat pač ji nerozumím a jsem amatér. (Pokaždé mi to hlásí nějákou chybu nebo to prostě nefunguje..) --------------------------------------------------------------------------------------------------------- Najde se někdo kdoby mi prosím pomohl? :) --------------------------------------------------------------------------------------------------------- Vím, že to má vypadat něják takhle: <code> ... mysql_real_escape_string(htmlspecialchars($_POST['jmeno'])), mysql_real_escape_string(htmlspecialchars($_POST['email'])), mysql_real_escape_string(htmlspecialchars($_POST['vzhled'])), ... </code> ale prostě no... :\ --------------------------------------------------------------------------------------------------------- Tady přikládám ještě obrázek: |
||
xROAL Profil |
#2 · Zasláno: 24. 6. 2013, 18:44:02
Delegal:
„(Pokaždé mi to hlásí nějákou chybu nebo to prostě nefunguje..)“ A to je konkrétne aká chyba? Kód ktorý si sem dal mi totiž pripadá v poriadku (až na to že tam teda máš stále strip_tags() namiesto htmlspecialchars() ktoré si chcel aplikovať). ... mysql_real_escape_string(htmlspecialchars($_POST['jmeno'])), mysql_real_escape_string(htmlspecialchars($_POST['email'])), mysql_real_escape_string(htmlspecialchars($_POST['vzhled'])), ... Inak keď sme pri tej zastaranosti - mysql je rovnako považované za zastarané (od PHP 5.5.0, do budúcna sa plánuje jeho úplne odstránenie) a odporúča sa prejsť na PDO alebo Mysqli. |
||
tiso Profil |
#3 · Zasláno: 25. 6. 2013, 00:57:00
Delegal: mal by si si prečítať príručku.
|
||
peta Profil |
#4 · Zasláno: 25. 6. 2013, 07:42:25
Delegal:
"Pokaždé mi to hlásí nějákou chybu nebo to prostě nefunguje." Text te chyby jsi cetl a porozumnel mu? A kdyz nerozumis, tak ji napis aspon sem. strip_tags - odstrani tagy (zobrazi pouze text, bez tagu) htmlspecialchars - prevede tagy na entity (zobrazi html kod) Ty dve funkce delaji kazda neco jineho. Ale tagy muzes odstranovat regularnim vyrazem, pokud chces vsechny. A mozna by se tam vyplatil cyklus, pro tolik hodnot. tiso: Json_encode neni javascriptova funkce. Vlevo by tam nesmela byt carka mezi js a json. Schazi tam escapovani url v js. |
||
jenikkozak Profil |
#5 · Zasláno: 25. 6. 2013, 07:56:54
peta:
„Json_encode neni javascriptova funkce.“ Tvrdí někdo opak? „Vlevo by tam nesmela byt carka mezi js a json.“ V té tabulce je to správně. „Schazi tam escapovani url v js.“ Tomu se nedivím. Když je to článek o escapování v PHP. |
||
peta Profil |
#6 · Zasláno: 25. 6. 2013, 09:32:05
jenikkozak:
"V té tabulce je to správně." neni. Tam je "javascript, json" Coz znamena, ze to plati jak pro js, tak i pro json. Coz neni pravda. |
||
tiso Profil |
#7 · Zasláno: 25. 6. 2013, 12:40:03
peta:
„Tam je "javascript, json" Coz znamena, ze to plati jak pro js, tak i pro json. Coz neni pravda.“ Hovorí ti niečo JSON vytvorený pomocou PHP? |
||
Časová prodleva: 11 let
|
0