[ Поиск ] - [ Пользователи ] - [ Календарь ]
Полная Версия: безопасность post и get
maikhuzz
Для того, чтобы обезвредить данные, полученные методами post и get, достаточно ли обрабатывать все значения функцией htmlspecialchars() ?
inpost
htmlspecialchars - для вывода строк.
int - для чисел (float и т.д.)
mysql_real_escape_string - перед занесением строк в БД.

Предпочтительнее использовать приведение к числу.

_____________
Обучаю веб-программированию качественно и не дорого: http://school-php.com
Фрилансер, принимаю заказы: PHP, JS, AS (видео-чаты). Писать в ЛС (Личные сообщения на phpforum).
maikhuzz
не мог бы немного разъяснить:
то есть htmlspecialchars нужно использовать не в тот момент, когда значение заносится в бд, а в тот, когда выводится на страницу?
от каких ситуаций защищает intval? и что имеется ввиду под приведением к числу?
inpost
maikhuzz
int и intval - это разные вещи smile.gif Как и float smile.gif

"то есть htmlspecialchars нужно использовать не в тот момент, когда значение заносится в бд, а в тот, когда выводится на страницу?"
- Абсолютно верно.

_____________
Обучаю веб-программированию качественно и не дорого: http://school-php.com
Фрилансер, принимаю заказы: PHP, JS, AS (видео-чаты). Писать в ЛС (Личные сообщения на phpforum).
maikhuzz
ты имеешь ввиду, что для числовых переменных нужно использовать соответствующие типы данных, чтобы не записывалось ничего лишнего? а intval в целях безопасности как-то используется?
inpost
maikhuzz
1. Да.
intval - это почти аналогия int. Используется в связке с array_map.

_____________
Обучаю веб-программированию качественно и не дорого: http://school-php.com
Фрилансер, принимаю заказы: PHP, JS, AS (видео-чаты). Писать в ЛС (Личные сообщения на phpforum).
maikhuzz
большое спасибо за ответ )
Быстрый ответ:

 Графические смайлики |  Показывать подпись
Здесь расположена полная версия этой страницы.
Invision Power Board © 2001-2025 Invision Power Services, Inc.