Полная Версия: безопасность post и get
Для того, чтобы обезвредить данные, полученные методами post и get, достаточно ли обрабатывать все значения функцией htmlspecialchars() ?
htmlspecialchars - для вывода строк.
int - для чисел (float и т.д.)
mysql_real_escape_string - перед занесением строк в БД.
Предпочтительнее использовать приведение к числу.
_____________
Обучаю веб-программированию качественно и не дорого: http://school-php.com
Фрилансер, принимаю заказы: PHP, JS, AS (видео-чаты). Писать в ЛС (Личные сообщения на phpforum).
int - для чисел (float и т.д.)
mysql_real_escape_string - перед занесением строк в БД.
Предпочтительнее использовать приведение к числу.
_____________
Обучаю веб-программированию качественно и не дорого: http://school-php.com
Фрилансер, принимаю заказы: PHP, JS, AS (видео-чаты). Писать в ЛС (Личные сообщения на phpforum).
не мог бы немного разъяснить:
то есть htmlspecialchars нужно использовать не в тот момент, когда значение заносится в бд, а в тот, когда выводится на страницу?
от каких ситуаций защищает intval? и что имеется ввиду под приведением к числу?
то есть htmlspecialchars нужно использовать не в тот момент, когда значение заносится в бд, а в тот, когда выводится на страницу?
от каких ситуаций защищает intval? и что имеется ввиду под приведением к числу?
maikhuzz
int и intval - это разные вещи
Как и float
"то есть htmlspecialchars нужно использовать не в тот момент, когда значение заносится в бд, а в тот, когда выводится на страницу?"
- Абсолютно верно.
_____________
Обучаю веб-программированию качественно и не дорого: http://school-php.com
Фрилансер, принимаю заказы: PHP, JS, AS (видео-чаты). Писать в ЛС (Личные сообщения на phpforum).
int и intval - это разные вещи
Как и float "то есть htmlspecialchars нужно использовать не в тот момент, когда значение заносится в бд, а в тот, когда выводится на страницу?"
- Абсолютно верно.
_____________
Обучаю веб-программированию качественно и не дорого: http://school-php.com
Фрилансер, принимаю заказы: PHP, JS, AS (видео-чаты). Писать в ЛС (Личные сообщения на phpforum).
ты имеешь ввиду, что для числовых переменных нужно использовать соответствующие типы данных, чтобы не записывалось ничего лишнего? а intval в целях безопасности как-то используется?
maikhuzz
1. Да.
intval - это почти аналогия int. Используется в связке с array_map.
_____________
Обучаю веб-программированию качественно и не дорого: http://school-php.com
Фрилансер, принимаю заказы: PHP, JS, AS (видео-чаты). Писать в ЛС (Личные сообщения на phpforum).
1. Да.
intval - это почти аналогия int. Используется в связке с array_map.
_____________
Обучаю веб-программированию качественно и не дорого: http://school-php.com
Фрилансер, принимаю заказы: PHP, JS, AS (видео-чаты). Писать в ЛС (Личные сообщения на phpforum).
большое спасибо за ответ )
Здесь расположена полная версия этой страницы.