Кто как и чем защищает свой сайт (какие функции), но меня интересует не
просто перечисление полезных функций а конкретное их применение
в определенных местах, например некоторые функции экранируют определенные
символы, что в графе NICK не допустимо!
Надеюсь вы уловили смысл моего вопроса.
Спустя 2 часа, 46 минут, 59 секунд (11.10.2008 - 22:56) twin написал(а):
Если касается бд, есть только две функции:
1. mysql_escape_string() для строк
2. intval() или (int) для чисел.
остальное - хрень.
Если касаемо постов, там по сложнее, можно на XSS нарваться. Все зависит от конкретных условий.
1. mysql_escape_string() для строк
2. intval() или (int) для чисел.
остальное - хрень.
Если касаемо постов, там по сложнее, можно на XSS нарваться. Все зависит от конкретных условий.
Спустя 13 часов, 45 минут, 59 секунд (12.10.2008 - 12:42) Krist_ALL написал(а):
Можно вот так
СМЫЛС: не пропустить спецсимволы
Код
$_POST[$b] = str_replace("<", "", $_POST[$b]);
$_POST[$b] = str_replace(">", "", $_POST[$b]);
$_POST[$b] = str_replace("{", "", $_POST[$b]);
$_POST[$b] = str_replace("}", "", $_POST[$b]);
$_POST[$b] = str_replace("/", "", $_POST[$b]);
//$_POST[$b] = str_replace("\", "", $_POST[$b]);
$_POST[$b] = str_replace(":", "", $_POST[$b]);
$_POST[$b] = str_replace(";", "", $_POST[$b]);
$_POST[$b] = str_replace("\\", "", $_POST[$b]);
$_POST[$b] = str_replace("\'", "", $_POST[$b]);
$_POST[$b] = str_replace("\"", "", $_POST[$b]);
$_POST[$b] = str_replace(">", "", $_POST[$b]);
$_POST[$b] = str_replace("{", "", $_POST[$b]);
$_POST[$b] = str_replace("}", "", $_POST[$b]);
$_POST[$b] = str_replace("/", "", $_POST[$b]);
//$_POST[$b] = str_replace("\", "", $_POST[$b]);
$_POST[$b] = str_replace(":", "", $_POST[$b]);
$_POST[$b] = str_replace(";", "", $_POST[$b]);
$_POST[$b] = str_replace("\\", "", $_POST[$b]);
$_POST[$b] = str_replace("\'", "", $_POST[$b]);
$_POST[$b] = str_replace("\"", "", $_POST[$b]);
СМЫЛС: не пропустить спецсимволы
Спустя 6 минут, 36 секунд (12.10.2008 - 12:49) Phobos98 написал(а):
Можно проще для строк: addslashes(strip_tags($string)) сотрет все теги и заэкранирует спецсимволы. Можно даж htmlspecialchars() втулить если для длинной строки типо сообщения на форуме
Спустя 32 минуты, 18 секунд (12.10.2008 - 13:21) Sylex написал(а):
_____________