| |
|
|
| | На сколько безопасна такая обработка пользовательского ввода ?
<?php
$user_post = mysql_escape_string(htmlspecialchars($user_post));
?>
|
И стоит ли проводить
<?php
$user_post = str_replace("'", "'", $user_post);
?>
|
при magic_quotes_gpc = on | |
| |
|
|
| |
|
|
| |
для: hell_riser
(17.06.2006 в 05:52)
| | | А что делает второй код? | |
| |
|
|
| |
|
|
| |
для: valenok
(17.06.2006 в 08:38)
| | | Наверное имелось ввиду
$user_post = str_replace("одинарная кавычка", "обратная кавычка", $user_post);
|
| |
| |
|
|
| |
|
|
| |
для: Tema
(17.06.2006 в 10:29)
| | | Что таоке обратная кавычка? | |
| |
|
|
| |
|
|
| |
для: valenok
(17.06.2006 в 10:38)
| | | Та, которая в английской раскладке под буквой Ё. | |
| |
|
|
| |
|
|
| |
для: hell_riser
(17.06.2006 в 05:52)
| | | При magic_quotes_gpc = on можно не делать ни одну из представленных проверок (htmlspecialchars() лучше применять непосредственно перед выводом в браузер). | |
| |
|
|
| |
|
|
| |
для: cheops
(17.06.2006 в 11:02)
| | | >При magic_quotes_gpc = on можно не делать ни одну из
>представленных проверок (htmlspecialchars() лучше применять
>непосредственно перед выводом в браузер).
Т.е не сколько я понял magic_quotes_gpc будет экранировать все спец символы?
Но на всяк случай лучше проверить
Перепрошую за дополнительные вопросы, а что такое
magic_quotes_sybase
magic_quotes_runtime
что они делают? | |
| |
|
|
| |
|
|
| |
для: hell_riser
(17.06.2006 в 17:15)
| | | magic_quotes_gps - экранирует, как следует из названия, GET, POST и COOKIE
magic_quotes_runtime - экранирует другие источники данных - БД, файлы
magic_quotes_sybase - Пределяет что надо экранировать. насколько я понял, если выключено - экранируются одинарные кавычки, бэкслеши и NULL, если включено, то только одинарные кавычки. | |
| |
|
|
| |
|
|
| |
для: hell_riser
(17.06.2006 в 17:15)
| | | Лучше использовать следующую конструкцию
<?php
if (!get_magic_quotes_gpc())
{
$theme = mysql_escape_string($theme);
$author = mysql_escape_string($author);
$pswrd = mysql_escape_string($pswrd);
$url = mysql_escape_string($url);
$message = mysql_escape_string($message);
}
?>
|
Она будет корректно работать и когда магические кавычки включены и когда они отключены. | |
| |
|
|
| |
|
|
| |
для: cheops
(17.06.2006 в 22:25)
| | | To LOKI
magic_quotes_gps -
больше похоже на то что
экранирует, как следует из названия, GET, POST и SOOKIE
Ну вы уж извините... | |
| |
|
|
| |
|
|
| |
для: valenok
(18.06.2006 в 08:35)
| | | у кого что болит:)
gpc, конечно | |
| |
|
|
| |
|
|
| |
для: hell_riser
(17.06.2006 в 05:52)
| | | А. Так это у вас апострофы на форуме тютю.
Ещё хуже.
Лучще не меняй | |
| |
|
|
| |
|
|
| |
для: valenok
(17.06.2006 в 11:03)
| | | Апострофы-то как раз и есть :) | |
| |
|
|
