05.12.2008, 18:25
|
|
Познающий
Регистрация: 02.11.2008
Сообщений: 87
С нами:
9221506
Репутация:
14
|
|
mysql & php
есть такой вывод базы данных
while ($output = mysql_fetch_assoc($result)) {
echo $output["id_msg"].<br />;
;
echo $output["name"].'<br />';
echo $output["city"].'<br />';
echo $output["email"].'<br />';
echo $output["url"]. '<br />';
echo $output["msg"].'<br />';
echo $output["answer"].'<br />'.'<a href="admin/add_answer.php">написать ответ</a><br />'; //наверное тут
echo $output["puttime"].'<br />';
// echo $output["hide"].'<br />';
}
как ПРАВИЛЬНО добавить GET чтобы передать id_msg в add_answer.php чтобы использовать его для связи с таблицей записи (это гостевая книга) |
|
|
05.12.2008, 18:43
|
|
Постоянный
Регистрация: 07.06.2006
Сообщений: 556
С нами:
10487846
Репутация:
2702
|
|
В текст запроса добавь ' WHERE id_msg=$_GET['id']'
И про фильтрацию не забудь
|
|
|
|
05.12.2008, 18:58
|
|
Познающий
Регистрация: 04.12.2008
Сообщений: 46
С нами:
9176631
Репутация:
57
|
|
... секунду
нет нет
просто в своей ссылке добавь
<a href="admin/add_answer.php ?VAR=$output['id_msg']">написать ответ</a>
а в файле add_answer.php ловишь эту переменную $_GET[' VAR']
вместо VAR как ты понимаешь любое имя переменной написать можно!
______
параметры get передаются после разделителя "?" парами переменная=значение разделенные символом "&"
пример:
<a href="www.lll.ru?var1=zn1&var2=zn2"></a> |
|
|
|
05.12.2008, 19:03
|
|
Постоянный
Регистрация: 15.06.2008
Сообщений: 941
С нами:
9423746
Репутация:
2399
|
|
strip_tags() - вырезает теги HTML и PHP из строки.
htmlspecialchars() — конвертирует только специальные символы (’&’, ‘”‘, ”’, ‘<’ и ‘>’) в HTML сущности (’&’, ‘"’…). Используется для фильтрации вводимых пользователем данных для защиты от XSS-атак.
htmlentities() - конвертирует все символы в строке (кроме букв) в мнемоники HTML. Используется для защиты от XSS, являясь более гибким аналогом htmlspecialchars.
stripslashes() - удаляет заэкранированные символы (после преобразования в сущности предыдущими функциями их незачем экранировать). Обычно используется в связке с проверочной функцией get_magic_quotes_gpc(), показывающей текущую установку конфигурации magic_quotes_gpc.
mysql_real_escape_string - мнемонизирует специальные символы в строке для использования в операторе SQL с учётом текущего набора символов в кодировке соединения. Иными словами, функция превращает любую строку в правильную и безопасную для MySQL-запроса. Используется для очистки всех данных, передающихся в MySQL-запрос для защиты от SQL-инъекций.
PHP код:
$id=strip_tags(htmlentities($_GET['id']));
......' WHERE id_msg='.$id;
|
|
|
|
05.12.2008, 19:04
|
|
Постоянный
Регистрация: 15.06.2008
Сообщений: 941
С нами:
9423746
Репутация:
2399
|
|
optimazer, твой запрос sql уязвим!
|
|
|
|
05.12.2008, 19:27
|
|
Познающий
Регистрация: 04.12.2008
Сообщений: 46
С нами:
9176631
Репутация:
57
|
|
2eLWAux
спс
_______
тогда исправляюсь
перед использованием переданного параметра отфильтровать всякую ересь
PHP код:
$_GET=array_map('htmlspecialchars',$_GET);
$_GET=array_map('strip_tags',$_GET);
$_GET=array_map('mysql_escape_string',$_GET);
для удобства в случае если передается несколько параметров
можно работать с ними как с массивом $_GET
не проверяя каждый параметр по отдельности
|
|
|
|
05.12.2008, 19:55
|
|
Reservists Of Antichat - Level 6
Регистрация: 25.04.2008
Сообщений: 827
С нами:
9497186
Репутация:
1304
|
|
optimazer Эт типа, давайте просто так, ради смеха испортим весь массив $_GET
eLWAux Тож ниче так, забавно получится, что вы собираетесь убрать strip_tags после того, как преобразовали <> в сущности?
Так как ID у автора скорее всего число, то достаточно делать запрос:
PHP код:
mysql_query("SELECT * FROM table WHERE id='".intval($_GET)."'");
Все, скули не будет, а вот для результата, лучше будет все же использовать array_map('htmlspecialchars',$output);
Всем читать - http://forum.antichat.ru/thread30641.html
Последний раз редактировалось Gifts; 05.12.2008 в 19:58..
|
|
|
|
06.12.2008, 16:02
|
|
Познающий
Регистрация: 04.12.2008
Сообщений: 46
С нами:
9176631
Репутация:
57
|
|
2Gifts а почему испортим то? =) ты часто спец.символы get-ом передаешь? =))
по хорошему нада все данные на валидность проверять
а если id не число, а генерированная символьная последовательность?
|
|
|
|
06.12.2008, 16:08
|
|
Reservists Of Antichat - Level 6
Регистрация: 25.04.2008
Сообщений: 827
С нами:
9497186
Репутация:
1304
|
|
optimazer ссылка дадена просто для красоты наверн. Если символьная - mysql_real_escape_string()
Не поверишь, гетом можно передать что угодно, а как часто - это уже дело десятое. Может я хочу md5 не в хекс строке передать?
|
|
|
|
06.12.2008, 16:26
|
|
Познающий
Регистрация: 04.12.2008
Сообщений: 46
С нами:
9176631
Репутация:
57
|
|
2Gifts
чтобы охватить весь спектр угроз безопасности нужно проверять на валидность данных весь массив get
|
|
|
|
|
 |
|
Похожие темы
|
| Тема |
Автор |
Раздел |
Ответов |
Последнее сообщение |
|
Books
|
PSalm69 |
Избранное |
273 |
13.02.2016 01:24 |
|
Books PHP
|
FRAGNATIC |
PHP |
186 |
21.02.2010 02:41 |
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
![Аватар для [x26]VOLAND](/avatars/avatar24925.jpg?978377){kind=avatar}
![Отправить сообщение для [x26]VOLAND с помощью AIM](fusion/misc/im_aim.gif)
Комбинированный вид
