 |
|
01.01.2008, 20:55
|
|
Banned
Регистрация: 11.08.2006
Сообщений: 1,522
С нами:
10393869
Репутация:
2032
|
|
фильтрация данных на пхп
Скрипт работает с mysql. Ему передаются данные типа ников, затем другой скрипт их выводит, т.е. обрезать все спецсимволы нельзя. + нужна поддержка кириллицы. У меня есть два варианта.
1. htmlspecialchars + strip_tags + регулярка (как задать кириллицу? [а-яА-я]?). Тогда какие спецсимволы нужно фильтровать? Я думаю, в самих скриптах не может быть inj, т.к. там используется только insert и select(парамерты жестко заданы), но интересен сам способ.
2. Перед записью конвертить все через ord, а перед выводом chr.
Для защиты от xss достаточно htmlspecialchars() или нужно что-то еще?
|
|
|
01.01.2008, 20:58
|
|
Постоянный
Регистрация: 11.11.2006
Сообщений: 595
С нами:
10261766
Репутация:
1079
|
|
Сообщение от Piflit
Скрипт работает с mysql. Ему передаются данные типа ников, затем другой скрипт их выводит, т.е. обрезать все спецсимволы нельзя. + нужна поддержка кириллицы. У меня есть два варианта.
1. htmlspecialchars + strip_tags + регулярка (как задать кириллицу? [а-яА-я]?). Тогда какие спецсимволы нужно фильтровать? Я думаю, в самих скриптах не может быть inj, т.к. там используется только insert и select(парамерты жестко заданы), но интересен сам способ.
2. Перед записью конвертить все через ord, а перед выводом chr.
Для защиты от xss достаточно htmlspecialchars() или нужно что-то еще?
Достаточно сделать htmlspecialchars() и фильтр от кавычек и все. Никаких xss или sql inj не получится
|
|
|
|
01.01.2008, 21:04
|
|
Banned
Регистрация: 30.03.2007
Сообщений: 344
С нами:
10061666
Репутация:
2438
|
|
Ога Макро прав htmlspecialchars() хватит
|
|
|
|
01.01.2008, 21:30
|
|
Постоянный
Регистрация: 30.08.2007
Сообщений: 773
С нами:
9840758
Репутация:
808
|
|
Зависит всё же от того, где они выводятся.
Кодировку нужно указать в явном виде против Utf-7
|
|
|
|
01.01.2008, 21:42
|
|
Banned
Регистрация: 11.08.2006
Сообщений: 1,522
С нами:
10393869
Репутация:
2032
|
|
$var = htmlspecialchars($var);
$var = ereg_replace("((\'\")+)", "", $var);
так?
Сообщение от astrologer
Зависит всё же от того, где они выводятся.
Кодировку нужно указать в явном виде против Utf-7
Выводятся в виде хтмл кода.
Где указать кодировку?
Последний раз редактировалось Piflit; 01.01.2008 в 21:44..
|
|
|
|
01.01.2008, 21:45
|
|
Постоянный
Регистрация: 11.11.2006
Сообщений: 595
С нами:
10261766
Репутация:
1079
|
|
Можно проще.
PHP код:
$var = htmlspecialchars($var);
$var = str_replace("'","",$var);
|
|
|
|
01.01.2008, 21:49
|
|
Флудер
Регистрация: 20.11.2006
Сообщений: 3,315
С нами:
10248806
Репутация:
2371
|
|
Охохо...если вы думаете что htmlspecialchars спасает от всего, то вы горекодеры...
|
|
|
|
01.01.2008, 21:51
|
|
Banned
Регистрация: 11.08.2006
Сообщений: 1,522
С нами:
10393869
Репутация:
2032
|
|
Сообщение от Isis
Охохо...если вы думаете что htmlspecialchars спасает от всего, то вы горекодеры...
заинтриговал...
|
|
|
|
01.01.2008, 21:51
|
|
Banned
Регистрация: 30.03.2007
Сообщений: 344
С нами:
10061666
Репутация:
2438
|
|
ну на сколько я знаю htmlspecialchars спасает от скулей и икссс
|
|
|
|
01.01.2008, 21:54
|
|
Banned
Регистрация: 11.08.2006
Сообщений: 1,522
С нами:
10393869
Репутация:
2032
|
|
а я ничего не знаю =\
|
|
|
|
|
|
|
Предыдущая тема
Следующая тема
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Похожие темы
Линейный вид
