[ Поиск ] - [ Пользователи ] - [ Календарь ]
Полная Версия: Защита формы ввода от злоумышленников
Владимир55
Информация в формы вводится только администратором, поэтому изначально никакой защиты на случай ввода вредоносного скрипта под видом текста не предполагалось. Но сейчас я несколько засомневался в правильности этой концепции - ведь девочка-администратор может и непреднамеренно что-то скопировать из сети.

Как полагаете, все же есть смысл обработать вводимый текст оператором
$text = htmlspecialchars($text, ENT_QUOTES);  


И в дополнение такой вопрос.
В случае обработки названным оператором, в базу попадают символы некоторых сущностей, в частности кавычек. И потому они выводятся браузером как показано в скриншоте.
Видимо, перед их выводом оператором ЕСНО их надо еще раз обработать каким-то оператором для приведения в первоначальный вид?

1. Чем обработать?
2. А не получится ли так, что при такой обработке восстановится и замустится тот самый вредоносный скрипт, от которого мы хотели защититься?
inpost
В случае обработки названным оператором, в базу попадают символы некоторых сущностей, в частности кавычек.
Делай htmlspecialchars только при ВЫВОДЕ данных, а не при добавлении в БД.

_____________
Обучаю веб-программированию качественно и не дорого: http://school-php.com
Фрилансер, принимаю заказы: PHP, JS, AS (видео-чаты). Писать в ЛС (Личные сообщения на phpforum).
Владимир55
Если использовать при выводе, то получается вот что:
Kusss
mysql_real_escape_string - ввод
htmlspecialchars - вывод
inpost
Владимир55
До вывода не надо применять htmlspecialchars!

_____________
Обучаю веб-программированию качественно и не дорого: http://school-php.com
Фрилансер, принимаю заказы: PHP, JS, AS (видео-чаты). Писать в ЛС (Личные сообщения на phpforum).
Быстрый ответ:

 Графические смайлики |  Показывать подпись
Здесь расположена полная версия этой страницы.
Invision Power Board © 2001-2025 Invision Power Services, Inc.