Форум АНТИЧАТ

Форум АНТИЧАТ (https://forum.antichat.xyz/index.php)
-   PHP, PERL, MySQL, JavaScript (https://forum.antichat.xyz/forumdisplay.php?f=37)
-   -   Фильтрация запросов (https://forum.antichat.xyz/showthread.php?t=56086)

Student :) 18.12.2007 13:52
Фильтрация запросов
 
Привет всем
есть ли такое рег выражение которое не пропустит лишнее в запрос а оставит только

A-z и _ и 0-9
спасибо

BlackCats 18.12.2007 13:54
Код:
htmlspecialchars()

Не нашли? Я подскажу. Введите, например, в поле "имя" двойную кавычку и какой-нибудь текст, например, "123. Отправьте форму, и взгляните на исходный код полученной страницы. В четвертой строке будет что-то наподобие:
Введите Ваше имя: <input type="text" name="name" value=""123">

То есть - ничего хорошего. А если бы хитрый пользователь ввел JavaScript-код?

Для решения этой проблемы необходимо воспользоваться функцией htmlspecialchars(), которая заменит служебные символы на их HTML-представление (например, кавычку - на &quot;):

  1.  <html>
  2.  <body>
  3.  <?
  4.    $name = isset($_POST['name']) ? htmlspecialchars($_POST['name']) : '';
  5.    $year = isset($_POST['year']) ? htmlspecialchars($_POST['year']) : '';
  6. 
  7.    if (isset($_POST['name'], $_POST['year'])) {
  8.      if ($_POST['name'] == '') {
  9.        echo 'Укажите имя!<br>';
  10.      } else if ($_POST['year'] < 1900 || $_POST['year'] > 2004) {
  11.        echo 'Укажите год рождения! Допустимый диапазон значений: 1900..2004<br>';
  12.      } else {
  13.        echo 'Здравствуйте, ' . $name . '!<br>';
  14.        $age = 2004 - $_POST['year'];
  15.        echo 'Вам ' . $age . ' лет<br>';
  16.      }
  17.      echo '<hr>';
  18.    }
  19.  ?>
  20.  <form method="post" action="<?=$_SERVER['PHP_SELF']?>">
  21.    Введите Ваше имя: <input type="text" name="name" value="<?=$name?>">
  22.    <br>
  23.    Введите Ваш год рождения: <input type="text" name="year" value="<?=$year?>">
  24.    <input type="submit" value="OK">
  25.  </form>
  26.  </body>
  27.  </html>

Повторите опыт и убедитесь, что теперь HTML-код корректен.

Запомните - функцию htmlspecialchars() необходимо использовать всегда, когда выводится содержимое переменной, в которой могут присутствовать спецсимволы HTML.
оно?

Student :) 18.12.2007 14:04
ну оно но не совсем

эта штука пропустит '

halkfild 18.12.2007 14:09
PHP код:
<?
if (isset($_GET['param'])) {
  preg_match_all('/[a-z0-9_]+/iU'$_GET['param'], $out);
  echo "<PRE>";
  print_r($out);
  echo "</PRE>";
}
?>

groundhog 18.12.2007 14:12
$pattern = "/[a-zA-Z0-9_]+/iUs";

if (!preg_match($pattern, $some_str, $matches)) die('Fuck!');

Student :) 18.12.2007 14:12
О то что надо это можно пременить для безопасности запросов в Sql?
или можно всётаки обойти проверку ? :)

GreenBear 18.12.2007 14:22
Цитата:
$pattern = "/[a-zA-Z0-9_]+/iUs";

if (!preg_match($pattern, $some_str, $matches)) die('Fuck!');
$some_str = 'mda\'';

http://ru2.php.net/manual/ru/reference.pcre.pattern.modifiers.php для жирного

^([a-z0-9_])$

GreenBear 18.12.2007 14:32
Цитата:
эта штука пропустит '
ENT_QUOTES

вообще достаточно просто данные в помощью mysql_escape_string или mysql_real_escape_string экранировать. другое лишнее.

Student :) 18.12.2007 15:53
Spasibo Vsem!

DRON-ANARCHY 18.12.2007 16:11
Интересно, как у автора получилось выучить работу с Sql если задает такие забавные вопросы))


Время: 23:28