Autor Zpráva
quatzael
Profil
Snažil jsem se nastudovat co mám všechno udělat, abych zabezpečil svojí stránku před nějakými škodlivými vstupy z formulářů.
Došel jsem k názoru, že asi stačí jen mysqli_real_escape_string pro zápis z databáze a htmlspecialchars pro vypsání dat z databáze zpátky na stránku.
Opravdu je tohle dostatečný? Není potřeba nějaký sofistikovanější systém zabezpečení?
juriad
Profil
Pokud ukládáš do databáze číslo, měl bys ho přetypovat na číslo.
Občas můžeš chtít strip_tags.
Alphard
Profil
Obvyklý odkaz phpfashion.com/escapovani-definitivni-prirucka. Vždy záleží na kontextu, pak už je to snadné.
quatzael
Profil
juriad:
Pokud ukládáš do databáze číslo, měl bys ho přetypovat na číslo.
A jak se to dělá?
Enko
Profil
Například takto pro celá čísla.
$cislo = (int)$_POST["cislo"];
quatzael
Profil
Enko:
Dík.
quatzael
Profil
Enko:
A ještě prosím, jak je možné zjistit, že je nějaká proměnná například integer nebo jak lze přímo zjistit datatype proměnné?


Už to mám, asi je to is_int()


Enko:
Takhle: jde mi o to, jak z kontrolovat jestli zadaná hodnota z formuláře jsou čistě jen číslice.. Nejsem si jistý, jestli náhodou nejsou všechny hodnoty z formuláře automaticky nastavené jako string..
Rfilip
Profil
Formular se preci posila jako kazda jina stranka textovym protokolem http, tudiz vsechny promene budou typu string
quatzael
Profil
Rfilip:
už jsem na to přišel: is_numeric()


Nebo spíše: ctype_digit()

Vaše odpověď

Mohlo by se hodit


Prosím používejte diakritiku a interpunkci.

Ochrana proti spamu. Napište prosím číslo dvě-sta čtyřicet-sedm: