Правила     Закладки     Карма    Календарь    Журналы    Помощь    Поиск    PDA    Чат   
        СМС-ки
   
Пейджер выключен!
 
Фильтр авторов:    показать 
  скрыть
  Ответ в темуСоздание новой темыСоздание опроса

> Фильтрация текста
maax  
 ۩  Дата
Цитировать сообщение

Пользователя сейчас нет на форуме



Пользователь
**

Профиль
Группа: Пользователь
Сообщений: 92
Пользователь №: 41664
На форуме: 1 год, 4 месяца, 5 дней
Карма:




Если в любой форме на сайте которая делает записи в БД написать
<script>alert()</script> 
то он сохраяет это все в таблицу да еще и выполняется ,выскакивает окно "подтвердите действие" и т д, если при этом пропустить что то подобное через htmlspecialchars ну наверно можно поставить еще stripslashes и trim вдруг пригодится то
<script>alert()</script>
в таблицу сохраняется уже в каком то непонятном состоянии но в браузере читается нормально, так это все равно уже безопасно если сработало через
htmlspecialchars
?

главное что с этими проверками ничего не срабатывает,идет как обычный текст

Это сообщение отредактировал maax - 11.09.2016 - 21:42
PMПисьмо на e-mail пользователю
    0   Для быстрого поиска похожих сообщений выделите 1-2 слова в тексте и нажмите сюда Для быстрой цитаты из этого сообщения выделите текст и нажмите сюда
Медведь  
Дата
Цитировать сообщение

Пользователя сейчас нет на форуме



Здесь живет
******

Профиль
Группа: ★ЛжеЭксперт★
Завсегдатай форума
Сообщений: 2482
Пользователь №: 37963
На форуме: 3 года, 3 месяца, 29 дней
Карма: 27




Когда сохраняешь в базу данных, используй - mysqli_real_escape_string
А перед отправкой клиенту (вывод на экран) - htmlspecialchars


--------------------

Заходил 29.09.2016
PMПисьмо на e-mail пользователю
    0   Для быстрого поиска похожих сообщений выделите 1-2 слова в тексте и нажмите сюда Для быстрой цитаты из этого сообщения выделите текст и нажмите сюда
Zzepish  
Дата
Цитировать сообщение

Пользователя сейчас нет на форуме



Аццкая хрень
******

Профиль
Группа: ★ЛжеЭксперт★
Завсегдатай форума
Сообщений: 5480
Пользователь №: 32538
На форуме: 4 года, 6 месяцев, 13 дней
Карма: 49




htmlspecialchars надо делать при выводе. Почитай про html-сущности, чтоб не пугался записей из базы!


--------------------
Правда тоже ложь, но с иным углом.
PMПисьмо на e-mail пользователю
    0   Для быстрого поиска похожих сообщений выделите 1-2 слова в тексте и нажмите сюда Для быстрой цитаты из этого сообщения выделите текст и нажмите сюда
maax  
 ۩  Дата
Цитировать сообщение

Пользователя сейчас нет на форуме



Пользователь
**

Профиль
Группа: Пользователь
Сообщений: 92
Пользователь №: 41664
На форуме: 1 год, 4 месяца, 5 дней
Карма:




Медведь

mysqli_real_escape_string подойдет для pdo? по моему нет)))
PMПисьмо на e-mail пользователю
    0   Для быстрого поиска похожих сообщений выделите 1-2 слова в тексте и нажмите сюда Для быстрой цитаты из этого сообщения выделите текст и нажмите сюда
maax  
 ۩  Дата
Цитировать сообщение

Пользователя сейчас нет на форуме



Пользователь
**

Профиль
Группа: Пользователь
Сообщений: 92
Пользователь №: 41664
На форуме: 1 год, 4 месяца, 5 дней
Карма:




Медведь

    $stm = $cnt->prepare("INSERT INTO reviews (username, email, text) VALUES (:username, :email, :text)");
$stm->bindParam(':username', $revname);
$stm->bindParam(':email', $revemail);
$stm->bindParam(':text', $revtext);
$stm->execute();

или у меня тут ошибки?
PMПисьмо на e-mail пользователю
    0   Для быстрого поиска похожих сообщений выделите 1-2 слова в тексте и нажмите сюда Для быстрой цитаты из этого сообщения выделите текст и нажмите сюда
maax  
 ۩  Дата
Цитировать сообщение

Пользователя сейчас нет на форуме



Пользователь
**

Профиль
Группа: Пользователь
Сообщений: 92
Пользователь №: 41664
На форуме: 1 год, 4 месяца, 5 дней
Карма:




а мб лучше и там и там htmlspecialchars сделать? пусть и в базе фигня сохранится ну и выведем через нее?
PMПисьмо на e-mail пользователю
    0   Для быстрого поиска похожих сообщений выделите 1-2 слова в тексте и нажмите сюда Для быстрой цитаты из этого сообщения выделите текст и нажмите сюда
Zzepish  
Дата
Цитировать сообщение

Пользователя сейчас нет на форуме



Аццкая хрень
******

Профиль
Группа: ★ЛжеЭксперт★
Завсегдатай форума
Сообщений: 5480
Пользователь №: 32538
На форуме: 4 года, 6 месяцев, 13 дней
Карма: 49




maax
pdo сама уже делает защиту от sql-инъекций! так-что mysqli_real_escape_string не нужен. htmlspecialchars только при выводе


--------------------
Правда тоже ложь, но с иным углом.
PMПисьмо на e-mail пользователю
    0   Для быстрого поиска похожих сообщений выделите 1-2 слова в тексте и нажмите сюда Для быстрой цитаты из этого сообщения выделите текст и нажмите сюда
maax  
 ۩  Дата
Цитировать сообщение

Пользователя сейчас нет на форуме



Пользователь
**

Профиль
Группа: Пользователь
Сообщений: 92
Пользователь №: 41664
На форуме: 1 год, 4 месяца, 5 дней
Карма:




Zzepish

я читал что даже в pdo кривыми руками можно дыру сделать для sql-инъекций,ну я вроде нормально написал biggrin.gif

Это сообщение отредактировал maax - 11.09.2016 - 22:12
PMПисьмо на e-mail пользователю
    0   Для быстрого поиска похожих сообщений выделите 1-2 слова в тексте и нажмите сюда Для быстрой цитаты из этого сообщения выделите текст и нажмите сюда
Zzepish  
Дата
Цитировать сообщение

Пользователя сейчас нет на форуме



Аццкая хрень
******

Профиль
Группа: ★ЛжеЭксперт★
Завсегдатай форума
Сообщений: 5480
Пользователь №: 32538
На форуме: 4 года, 6 месяцев, 13 дней
Карма: 49




maax
Ну, у тебя все четко. Если делать через плейсхолдеры- то все будет кошерно)


--------------------
Правда тоже ложь, но с иным углом.
PMПисьмо на e-mail пользователю
    0   Для быстрого поиска похожих сообщений выделите 1-2 слова в тексте и нажмите сюда Для быстрой цитаты из этого сообщения выделите текст и нажмите сюда
  Быстрый ответ
Информация о Госте
Введите Ваше имя
Кнопки кодов
Для вставки цитаты, выделите нужный текст и
НАЖМИТЕ СЮДА
Введите сообщение
Смайлики
:huh:  :o  ;) 
:P  :D  :lol: 
B)  :rolleyes:  <_< 
:)  :angry:  :( 
:unsure:  :blink:  :ph34r: 
     
Показать всё

Опции сообщения  Включить смайлики?
 Включить подпись?
 
1 Пользователей читают эту тему (1 Гостей и 0 Скрытых Пользователей)
0 Пользователей:

Опции темы Ответ в темуСоздание новой темыСоздание опроса