Форум dkLab и Denwer
Здесь общаются Web-разработчики.
Генеральный спонсор:
Хостинг «Джино»

Безопасность, фильтры (Raul7)
Author Message
Raul7
Участник форума



Joined: 30 Jan 2008
Posts: 24
Карма: -4
   поощрить/наказать


PostPosted: Wed Jan 30, 2008 3:26 pm (написано за 33 секунды)
   Post subject: Безопасность, фильтры
Reply with quote

какие фильтры рекомендуете использовать для любых видов переменных?
Back to top
View user's profile Send private message Send e-mail
Maus
Модератор



Joined: 29 Jun 2003
Posts: 8151
Карма: 271
   поощрить/наказать

Location: пос. Омсукчан Магаданской области

PostPosted: Wed Jan 30, 2008 9:33 pm (спустя 6 часов 6 минут; написано за 39 секунд)
   Post subject:
Reply with quote

Raul7
строго те, которые фильтруют. Которые не фильтруют - бесполезны.
Back to top
View user's profile Send private message
Raul7
Участник форума



Joined: 30 Jan 2008
Posts: 24
Карма: -4
   поощрить/наказать


PostPosted: Wed Jan 30, 2008 9:40 pm (спустя 7 минут; написано за 31 секунду)
   Post subject:
Reply with quote

есть же фильтры которые одинакого успешно фильтруют, между ними есть в чем то разница?
Back to top
View user's profile Send private message Send e-mail
bæv
Модератор «Дзена»



Joined: 27 Aug 2003
Posts: 7275
Карма: 9986
   поощрить/наказать


PostPosted: Thu Jan 31, 2008 12:09 pm (спустя 14 часов 28 минут; написано за 58 секунд)
   Post subject:
Reply with quote

Я не знаю, о каких «фильтрах» речь, но что-то мне подсказывает, что автору топика нужно вот это:
phpfaq.ru/slashes
Back to top
View user's profile Send private message
Maus
Модератор



Joined: 29 Jun 2003
Posts: 8151
Карма: 271
   поощрить/наказать

Location: пос. Омсукчан Магаданской области

PostPosted: Thu Jan 31, 2008 9:55 pm (спустя 9 часов 46 минут; написано за 1 минуту 6 секунд)
   Post subject:
Reply with quote

bæv
а может, ему нужно mysql_real_escape_string() ? Или DBSimple? Или type casting? Тайна, покрытая мраком...
Back to top
View user's profile Send private message
bæv
Модератор «Дзена»



Joined: 27 Aug 2003
Posts: 7275
Карма: 9986
   поощрить/наказать


PostPosted: Thu Jan 31, 2008 9:58 pm (спустя 2 минуты; написано за 23 секунды)
   Post subject:
Reply with quote

Maus wrote:
а может, ему нужно mysql_real_escape_string() ? Или DBSimple?
— ну. А я куда ссылку дал?
Back to top
View user's profile Send private message
Maus
Модератор



Joined: 29 Jun 2003
Posts: 8151
Карма: 271
   поощрить/наказать

Location: пос. Омсукчан Магаданской области

PostPosted: Thu Jan 31, 2008 10:10 pm (спустя 11 минут; написано за 42 секунды)
   Post subject:
Reply with quote

bæv
на slashes() . у них, помнится, есть какая-то разница в результатах
Back to top
View user's profile Send private message
bæv
Модератор «Дзена»



Joined: 27 Aug 2003
Posts: 7275
Карма: 9986
   поощрить/наказать


PostPosted: Thu Jan 31, 2008 10:26 pm (спустя 16 минут; написано за 35 секунд)
   Post subject:
Reply with quote

Maus wrote:
на slashes()
— ты б хоть по ссылке сходил сначала.
-1
Back to top
View user's profile Send private message
Maus
Модератор



Joined: 29 Jun 2003
Posts: 8151
Карма: 271
   поощрить/наказать

Location: пос. Омсукчан Магаданской области

PostPosted: Thu Jan 31, 2008 11:22 pm (спустя 56 минут; написано за 26 секунд)
   Post subject:
Reply with quote

bæv
оййо.. был категорически неправ
Заслуженно
Back to top
View user's profile Send private message
Raul7
Участник форума



Joined: 30 Jan 2008
Posts: 24
Карма: -4
   поощрить/наказать


PostPosted: Thu Jan 31, 2008 11:28 pm (спустя 5 минут; написано за 43 секунды)
   Post subject:
Reply with quote

bævспасибо. ссылка то что нужно
Back to top
View user's profile Send private message Send e-mail
Raul7
Участник форума



Joined: 30 Jan 2008
Posts: 24
Карма: -4
   поощрить/наказать


PostPosted: Fri Feb 01, 2008 12:00 am (спустя 31 минуту; написано за 43 секунды)
   Post subject:
Reply with quote

$latuser=htmlspecialchars($latuser, ENT_QUOTES);
$select = mysql_query ("Select id,user,name from users where latuser = '".$latuser."');

а такая обработка чем хуже mysql_real_escape_string ??
Back to top
View user's profile Send private message Send e-mail
bæv
Модератор «Дзена»



Joined: 27 Aug 2003
Posts: 7275
Карма: 9986
   поощрить/наказать


PostPosted: Fri Feb 01, 2008 12:39 pm (спустя 12 часов 39 минут; написано за 5 минут 1 секунду)
   Post subject:
Reply with quote

Raul7 wrote:
а такая обработка чем хуже mysql_real_escape_string ??
— Вы статью по-вдумчивее перечитайте.

Вы явно не поняли, что слэши, вставляемые в запрос mysql_real_escape_string, не попадают в базу. Т.е. строка, обработанная этой функцией, — не изменяется. Что пользователь ввёл, то в базе и хранится.
А в чём смысл Ваших преобразований посредством htmlspecialchars?
Back to top
View user's profile Send private message
Raul7
Участник форума



Joined: 30 Jan 2008
Posts: 24
Карма: -4
   поощрить/наказать


PostPosted: Fri Feb 01, 2008 10:09 pm (спустя 9 часов 29 минут; написано за 1 минуту 56 секунд)
   Post subject:
Reply with quote

bæv писал(а):
А в чём смысл Ваших преобразований посредством htmlspecialchars?

Она не пропускает иньекцию. Проверено мною.
Вы явно не поняли, что слэши, вставляемые в запрос mysql_real_escape_string, не попадают в базу.
Если юзер ввел Д'артань​ян. Она останется без обработки же при mysql_real_escape_string ?
Back to top
View user's profile Send private message Send e-mail
bæv
Модератор «Дзена»



Joined: 27 Aug 2003
Posts: 7275
Карма: 9986
   поощрить/наказать


PostPosted: Fri Feb 01, 2008 10:47 pm (спустя 38 минут; написано за 1 минуту)
   Post subject:
Reply with quote

Raul7, у меня ощущение, что Вы статью вообще не читали.
Поэтому дальнейший разговор просто бесполезен.
Back to top
View user's profile Send private message
Raul7
Участник форума



Joined: 30 Jan 2008
Posts: 24
Карма: -4
   поощрить/наказать


PostPosted: Mon Feb 04, 2008 11:16 pm (спустя 3 дня 29 минут)
   Post subject:
Reply with quote

Вопрос решен, тему можно закрыть.
Back to top
View user's profile Send private message Send e-mail
Maus
Модератор



Joined: 29 Jun 2003
Posts: 8151
Карма: 271
   поощрить/наказать

Location: пос. Омсукчан Магаданской области

PostPosted: Mon Feb 04, 2008 11:27 pm (спустя 10 минут)
   Post subject:
Reply with quote


М

Тема закрыта.
Back to top
View user's profile Send private message
Display posts from previous:   
Post new topic   This topic is locked: you cannot edit posts or make replies. All times are GMT + 3 Hours
Page 1 of 1    Email to a Friend.
You cannot post new topics in this forum. You cannot reply to topics in this forum. You cannot edit your posts in this forum. You cannot delete your posts in this forum. You cannot vote in polls in this forum. You cannot attach files in this forum. You can download files in this forum.
XML