Форум АНТИЧАТ

Форум АНТИЧАТ (https://forum.antichat.xyz/index.php)

- PHP, PERL, MySQL, JavaScript (https://forum.antichat.xyz/forumdisplay.php?f=37)

- - mysql & php (https://forum.antichat.xyz/showthread.php?t=94937)

есть такой вывод базы данных
while ($output = mysql_fetch_assoc($result)) {

echo $output["id_msg"]. ;
;
echo $output["name"].' ';
echo $output["city"].' ';
echo $output["email"].' ';
echo $output["url"]. ' ';
echo $output["msg"].' ';
echo $output["answer"].' '.'<a href="admin/add_answer.php">написать ответ</a> '; //наверное тут
echo $output["puttime"].' ';
// echo $output["hide"].' ';
}
как ПРАВИЛЬНО добавить GET чтобы передать id_msg в add_answer.php чтобы использовать его для связи с таблицей записи (это гостевая книга)

В текст запроса добавь ' WHERE id_msg=$_GET['id']'
И про фильтрацию не забудь

... секунду
нет нет

просто в своей ссылке добавь
<a href="admin/add_answer.php?VAR=$output['id_msg']">написать ответ</a>

а в файле add_answer.php ловишь эту переменную $_GET['VAR']
вместо VAR как ты понимаешь любое имя переменной написать можно!
______

параметры get передаются после разделителя "?" парами переменная=значение разделенные символом "&"

пример:
<a href="www.lll.ru?var1=zn1&var2=zn2"></a>

Цитата:

strip_tags() - вырезает теги HTML и PHP из строки.

htmlspecialchars() — конвертирует только специальные символы (’&’, ‘”‘, ”’, ‘<’ и ‘>’) в HTML сущности (’&’, ‘"’…). Используется для фильтрации вводимых пользователем данных для защиты от XSS-атак.

htmlentities() - конвертирует все символы в строке (кроме букв) в мнемоники HTML. Используется для защиты от XSS, являясь более гибким аналогом htmlspecialchars.

stripslashes() - удаляет заэкранированные символы (после преобразования в сущности предыдущими функциями их незачем экранировать). Обычно используется в связке с проверочной функцией get_magic_quotes_gpc(), показывающей текущую установку конфигурации magic_quotes_gpc.

mysql_real_escape_string - мнемонизирует специальные символы в строке для использования в операторе SQL с учётом текущего набора символов в кодировке соединения. Иными словами, функция превращает любую строку в правильную и безопасную для MySQL-запроса. Используется для очистки всех данных, передающихся в MySQL-запрос для защиты от SQL-инъекций.

PHP код:


		
			
$id=strip_tags(htmlentities($_GET['id']));

......' WHERE id_msg='.$id;

optimazer, твой запрос sql уязвим!

2eLWAux
спс
_______
тогда исправляюсь
перед использованием переданного параметра отфильтровать всякую ересь

PHP код:


		
			
$_GET=array_map('htmlspecialchars',$_GET);

$_GET=array_map('strip_tags',$_GET);

$_GET=array_map('mysql_escape_string',$_GET);

для удобства в случае если передается несколько параметров
можно работать с ними как с массивом $_GET
не проверяя каждый параметр по отдельности

optimazer Эт типа, давайте просто так, ради смеха испортим весь массив $_GET
eLWAux Тож ниче так, забавно получится, что вы собираетесь убрать strip_tags после того, как преобразовали <> в сущности?

Так как ID у автора скорее всего число, то достаточно делать запрос:

PHP код:


		
			
mysql_query("SELECT * FROM table WHERE id='".intval($_GET['id'])."'");

Все, скули не будет, а вот для результата, лучше будет все же использовать array_map('htmlspecialchars',$output);

Всем читать - http://forum.antichat.ru/thread30641.html

2Gifts а почему испортим то? =) ты часто спец.символы get-ом передаешь? =))
по хорошему нада все данные на валидность проверять
а если id не число, а генерированная символьная последовательность?

optimazer ссылка дадена просто для красоты наверн. Если символьная - mysql_real_escape_string()

Не поверишь, гетом можно передать что угодно, а как часто - это уже дело десятое. Может я хочу md5 не в хекс строке передать?

2Gifts
чтобы охватить весь спектр угроз безопасности нужно проверять на валидность данных весь массив get