| Autor | Zpráva | ||
|---|---|---|---|
| Trickle Profil |
#1 · Zasláno: 13. 11. 2015, 15:30:35
Zdravím
Nemám zkušenosti se zabezpečením skriptů. Je tu někdo kdo by mě do toho přeci jen zasvětil. Na tomto příkladu? Určitě při volání DB by mělo být nějaké zabezpečení té proměnné formou escape.. ale nevím jak to do toho zakomponovat. Plus i výpis nebo se mýlím ? Děkuji za rady. <?php
if(isset($_GET["Lide_ID"])) {
$Firma_ID=$_GET["Lide_ID"];
if(!$data=mysql_query("SELECT * FROM Lide where Lide_ID=$ Lide_ID"))
{echo "Nepodařilo se načíst záznam";}
else {
$ Lide_Info=mysql_fetch_array($data);
}
}
echo "<TABLE BORDER=\"0\" cellpading=\"0\" cellspacing=\"0\">";
echo "<TR>";
echo "<TD>Jméno:</TD>";
echo "<TD>".$ Lide_Info["Jmeno"]."</TD>";
echo "</tr>";
echo "<tr>";
echo "<TD >Město:</TD>";
echo "<TD>".$ Lide_Info["Mesto"]."</TD>";
echo "</TR>";
echo "<tr>";
echo "<TD>PSČ:</TD>";
echo "<TD>".$ Lide_Info["PSC"]."</TD>";
echo "</TR>";
echo "<tr>";
echo "<TD>Komentář:</TD>";
echo "<TD>".$ Lide_Info["Komentar"]."</TD>";
echo "</TR>";
echo "<tr>";
echo "</tr>";
echo "</TABLE>";
?> |
||
| Fisir Profil |
#2 · Zasláno: 13. 11. 2015, 15:32:16
Reaguji na Trickle:
Podívej se na definitivní příručku escapování. |
||
| Dan Charousek Profil |
#3 · Zasláno: 13. 11. 2015, 15:36:17
Trickle:
Vkládáš-li text do databáze $text = mysql_real_escape_string($_GET[...]); echo htmlspecialchars($Lide_Info[...]); Podrobnější info v definitivní příručce, na kterou odkazuje Fisir. |
||
| Trickle Profil |
Pravě že když vložím htmlspecialchars. Tak mi DB nevypíše vůbec nic.
echo "<TD>".htmlspecialchars($Firma_Info["Jmeno"])."</TD>"; Jasně už vím.. Protože jsem to vkládal do db ručně a ne přes rozhraní které to escapuje. |
||
| Martin2 Profil * |
#5 · Zasláno: 13. 11. 2015, 16:00:13
|
||
|
Časová prodleva: 9 let
|
|||
0