inpost Я честно не понял зачем вы тянули бутстрап на свой сайт ? Вы видимо не совсем понимаете зачем он нужен. Я кстати не говорил что вы плохо верстаете, вы просто сильно отстаете от современной веб-разработки.
Полная Версия: 2014 год. Курс Евгения Попова. Человек развивается
| Цитата (Arh @ 2.10.2014 - 17:01) |
| twin В первом файле? Так htmlspecialchars перед добавлением в базу делается если нужно, что бы потом в цикле миллион раз его не вызывать. |
Расстрелять.
_____________
Если вам недостаточно собственных заблуждений, можно расширить их мнениями экспертов.
Нужно уважать мнение оппонета. Ведь заблуждаться - его святое право.
Настаивал, настаиваю и буду настаивать на своем. На кедровых орешках.
twin
Почему?
_____________
Промокод предоставляет скидку на заказ домена и/или хостинга reg.ru
BFCC-3895-8804-9ED2
Почему?
_____________
Промокод предоставляет скидку на заказ домена и/или хостинга reg.ru
BFCC-3895-8804-9ED2
Итак, тема нового холивара: обработка спецсимволов перед записью в БД vs после записи.
Поехали.
_____________
Профессиональная разработка на заказ
Я на GitHub | второй профиль
Поехали.
_____________
Профессиональная разработка на заказ
Я на GitHub | второй профиль
Arh
Я не понял твоего примера
_____________
Обучаю веб-программированию качественно и не дорого: http://school-php.com
Фрилансер, принимаю заказы: PHP, JS, AS (видео-чаты). Писать в ЛС (Личные сообщения на phpforum).
Я не понял твоего примера
_____________
Обучаю веб-программированию качественно и не дорого: http://school-php.com
Фрилансер, принимаю заказы: PHP, JS, AS (видео-чаты). Писать в ЛС (Личные сообщения на phpforum).
inpost
| Цитата |
| Нет, не удаляет. Просто можно было array_map, к примеру, или foreach использовать, а не так вручную для каждого прописывать. |
Ну я и использовал trim с помощью array_map или foreach)
_____________
Промокод предоставляет скидку на заказ домена и/или хостинга reg.ru
BFCC-3895-8804-9ED2
Arh
а чем тебя не устроило перебирать всё через foreach ? Просто весь POST массив на trim, без указания конкретных элементов массива.
_____________
Обучаю веб-программированию качественно и не дорого: http://school-php.com
Фрилансер, принимаю заказы: PHP, JS, AS (видео-чаты). Писать в ЛС (Личные сообщения на phpforum).
а чем тебя не устроило перебирать всё через foreach ? Просто весь POST массив на trim, без указания конкретных элементов массива.
_____________
Обучаю веб-программированию качественно и не дорого: http://school-php.com
Фрилансер, принимаю заказы: PHP, JS, AS (видео-чаты). Писать в ЛС (Личные сообщения на phpforum).
inpost
А смысл перебирать + обрабатывать $_POST['submit'], $_POST['age'] и еще кучу всего, что там может прийти?
А смысл перебирать + обрабатывать $_POST['submit'], $_POST['age'] и еще кучу всего, что там может прийти?
| Цитата |
| Если ты число привёл к int, то после нет смысла убирать пробелы) |
_____________
Промокод предоставляет скидку на заказ домена и/или хостинга reg.ru
BFCC-3895-8804-9ED2
Arh
Применять htmlspecialchars до внесения в БД плохо тем, что ты потом не сможешь отредактировать этот текст в будущем. Точнее у тебя будет decode, но он сможет зацепить и не требующие символы декодировать.
Это как если я напишу: <b><b&rt; , то декодер превратит строку в <b><b>, а закодированный будет дважды <b&rt; (не ругать, забыл как спец.символ этот пишется).
В общем суть в этом.
_____________
Обучаю веб-программированию качественно и не дорого: http://school-php.com
Фрилансер, принимаю заказы: PHP, JS, AS (видео-чаты). Писать в ЛС (Личные сообщения на phpforum).
Применять htmlspecialchars до внесения в БД плохо тем, что ты потом не сможешь отредактировать этот текст в будущем. Точнее у тебя будет decode, но он сможет зацепить и не требующие символы декодировать.
Это как если я напишу: <b><b&rt; , то декодер превратит строку в <b><b>, а закодированный будет дважды <b&rt; (не ругать, забыл как спец.символ этот пишется).
В общем суть в этом.
_____________
Обучаю веб-программированию качественно и не дорого: http://school-php.com
Фрилансер, принимаю заказы: PHP, JS, AS (видео-чаты). Писать в ЛС (Личные сообщения на phpforum).
Arh
| Цитата |
| twin Почему? |
Потому что это основы безопасности.
| Цитата (Invis1ble @ 2.10.2014 - 17:11) |
| Итак, тема нового холивара: обработка спецсимволов перед записью в БД vs после записи. Поехали. |
Не, не так))) Вот так:
Можно ли отдавать в поток неподготовленные данные, полученные из сомнительного источника.
БД - источник достаточно сомнительный. Вероятность попадания туда вредоносного HTML в обход санкционированной записи хоть и не велика, но есть. И делать юзера заложником нештатной ситуации - халатная преступность. Даже пусть с благими намерениями. Смехотворными правда. Я про циклы, сколько там ресурса потребуется)))
Функция htmlspecialchars() предназначена для преобразования спецсимволов в HTML-сущности. Само название говорит за себя. mysql_esqape_string() - для SQL, сиреч для базы, htmlspecialchars() - для браузера.
_____________
Если вам недостаточно собственных заблуждений, можно расширить их мнениями экспертов.
Нужно уважать мнение оппонета. Ведь заблуждаться - его святое право.
Настаивал, настаиваю и буду настаивать на своем. На кедровых орешках.
sz47181
| Цитата |
| дримвивер начал поддерживать препроцессоры или вдруг эмет туда встроили, или вы до сих пор спрайты ручками вставляете ? |
Твои слова. Да, я вставляю все ручками. Чем плохо?
Антивирус меня устраивает и по пустякам не беспокоит. Мб у тебя хостинг завирусованный
twin
| Цитата |
| Можно ли отдавать в поток неподготовленные данные, полученные из сомнительного источника. |
Об этом я не подумал, но не расстреливать же
_____________
Промокод предоставляет скидку на заказ домена и/или хостинга reg.ru
BFCC-3895-8804-9ED2
Zzepish Плохо тем что делаете кучу бесполезной работы, в сильный проект вас не возьмут просто потому что вы будете всю команду держать.
Хостер hostinger, использую в этапе разработки (вроде никто не жаловался), timeweb использую уже для готовых сайтов.
Посмотрите это видео, может измените свою позицию.
http://www.youtube.com/watch?v=teEwo5ynLyI
Хостер hostinger, использую в этапе разработки (вроде никто не жаловался), timeweb использую уже для готовых сайтов.
Посмотрите это видео, может измените свою позицию.
http://www.youtube.com/watch?v=teEwo5ynLyI
sz47181
если ты хочешь учится всю жизнь, а не тупо рубить бабло, надо все писать от руки.
У меня был опыт- через пол года я начал забывать элементарные вещи
если ты хочешь учится всю жизнь, а не тупо рубить бабло, надо все писать от руки.
У меня был опыт- через пол года я начал забывать элементарные вещи
| Цитата (Zzepish @ 2.10.2014 - 17:50) |
| если ты хочешь учится всю жизнь, а не тупо рубить бабло, надо все писать от руки. |
ну я даже не знаю, за гроши с нуля все подряд писать..
_____________
"internet explorer всех правильней отображает страницы" ©
Здесь расположена полная версия этой страницы.