| |
|
|
| |
<?php
$inc = htmlspecialchars(strip_tags($_GET['page']));
$query = mysql_query("SELECT * FROM `pages` WHERE `inc`='$inc'",$db);
?>
|
где-то слышал что strip_tags не срабатывает во всех случаях, так же не могу понять следующей строки htmlspecialchars(strip_tags($_GET['page'])) - я ее стащил с интернета под грифом "сортировка", и не знаю что конкретно она выполняет... мне нужно извлечь из гет-запроса сырой безобидный текст с которым можно спокойно работать, например в запросах к бд...обеспечивает ли предыдущая строка кода эту задачу, или она не безопастна? | |
| |
|
|
| |
|
|
| |
для: Nikolayers
(05.02.2012 в 21:06)
| | | Ну вообще говоря нет... htmlspecialchars() и strip_tags() используются для защиты от XSS-инъекций, т.е. от JavaScript. По умолчанию htmlspecialchars() не производит преобразование одиночных кавычек и можно организовать SQL-инъекцию. Лучше не заниматься HTML-преобразованием перед вставкой базы данных - ничего кроме головной боли это не дает (особенно, если потом данные нужно редактировать), а провести нормальное экранирование данных, с учетом того, включен режим "магических кавычек" или нет. | |
| |
|
|
