14 odpowiedzi w tym temacie

[Gh0st]

Napisałem przed chwilą funkcje ( toznaczy 2 ) zabezpieczające $_POST i $_GET

<?
	function zabezpiecz_post()
	{
		if ( !empty($_POST) )
		{
			foreach ( $_POST as $klucz => $wartosc )
			{
				$_POST[$klucz] = mysql_real_escape_string($wartosc);
			}
		}
	}
	
	function zabezpiecz_get()
	{
		if ( !empty($_GET) )
		{
			foreach($_GET as $klucz => $wartosc)
			{
				$_GET[$klucz] = mysql_real_escape_string($wartosc);
			}
		}
	}

	zabezpiecz_get();
	zabezpiecz_post();
?>

2 funkcje powyżej zabezpieczają całą tablice $_POST i $_GET funkcją

mysql_real_escape_string()

jeżeli użyjesz tej funkcji nie bedziesz musiał za każdym razem używać np
$login = mysql_real_escape_string($login);


jak użyć ?


funkcje umieść najlepiej zaraz pod funkcją która odpowiada za łączenie się z bazą danych


dziękuje za przeczytanie

[Portek]

A to nie jest przypadkiem tak że bez funkcji mysql_connect() nie wywołasz mysql_real_escape_string()?

PHP: addslashes - Manual + PHP: htmlspecialchars - Manual w 100% załatwiają sprawę.

<?php
	function zabezpieczOba()
	{
		if(!empty($_POST)) {
			foreach ( $_POST as $klucz => $wartosc )
				$_POST[$klucz] = addslashes(htmlspecialchars($wartosc));

		} else if (!empty($_GET)) {
			foreach ( $_GET as $klucz => $wartosc )
				$_GET[$klucz] = addslashes(htmlspecialchars($wartosc));
		}
	}
?>

Użytkownik Portek edytował ten post 12.11.2011 13:46

[Gh0st]

@up.
Masz racje ... ale przeczytaj co niżej w pierwszym poście pisałem ... najlepiej dać pod funkcją odpowiadającą za łączenie ze sql.

} else if (empty($_GET)) {

na pewno ?:
a nie

!empty($_GET)

?

i chyba małą literówkę złapałeś

exits

Użytkownik Gh0st edytował ten post 12.11.2011 13:16

[Portek]

Racja, myślałem o czymś innym, a napisałem coś innego.

[Fili:P]

A nie powinno być tak ?

function zabezpiecz_post()
		{
				if ( !empty($_POST) )
				{
						foreach ( $_POST as $klucz => $wartosc )
						{
								$_POST[$klucz] = stripslashes(mysql_real_escape_string($wartosc));
						}
				}
		}
		
		function zabezpiecz_get()
		{
				if ( !empty($_GET) )
				{
						foreach($_GET as $klucz => $wartosc)
						{
								$_GET[$klucz] = stripslashes(mysql_real_escape_string($wartosc));
						}
				}
		}

Ponieważ:

Informacja:
Jeśli opcja magic_quotes_gpc została włączona, najpierw na danych należy użyć stripslashes(). Użycie tej funkcji samej spowoduje, że do danych zostaną dodane podwójne znaki unikowe.

I jeszcze taka ciekawostka:

Informacja:
Przed użyciem mysql_real_escape_string() należy otworzyć połączenie z MySQL, w przeciwnym razie zostanie wygenerowany błąd poziomu E_WARNING i zwrócona zostanie wartość FALSE. Jeśli identyfikator_połączenia nie został zdefiniowany, zostanie użyte ostatnie połączenie do serwera MySQL.

Źródło: http://php.net/manua...cape-string.php

[G[o]Q]

wpierw dowiedz się co to jest magic_quote_gpc a potem pisz

[nns]

A jak to sie sprawdzi przy tablicach wielowymiarowych? Bo mnie się jakoś nie chce sprawdzać, że tak szczerze powiem

+ bo zawsze się przyda

[byCZUS]

Nie wiem czy się przyda lecz podrzucam funkcję #vaverixa mam nadzieję, że się nie pogniewa

function mysql_escape_globals() {
    global $_POST, $_GET, $_COOKIE;
    foreach($_POST as $a => $ { $_POST["$a"] = mysql_escape_string($; }
    foreach($_GET as $a => $ { $_GET["$a"] = mysql_escape_string($; }
    foreach($_COOKIE as $a => $ { $_COOKIE["$a"] = mysql_escape_string($; }
}

[nns]

To jeszcze $_SESSION Odpowie mi ktoś co z tymi tablicami wielowymiarowymi ?

A i jak to się będzie mieć do klas? Jak do indexa dam na początek którąś z tych funkcji i dokleje klase potem ją utworze obiekt to ten patent będzie dalej działał??

Użytkownik nns edytował ten post 14.11.2011 19:41

[Gh0st]

Wersja którą podał byczek zabezpiecza jeszcze $_COOKIE

$_SESSION

no to

function session()
{
foreach($_SESSION as $k => $v){ $_SESSION[$k] = mysql_real_escape_string($v)}
}

i o co chodzi ci dokładniej z tymi tablicami ? :-p podaj jej budowe

Użytkownik Gh0st edytował ten post 14.11.2011 19:40

[Fili:P]

Jak już tak szalejemy to łap duszku

$GLOBALS — References all variables available in global scope
$_SERVER — Server and execution environment information
$_GET — HTTP GET variables
$_POST — HTTP POST variables
$_FILES — HTTP File Upload variables
$_REQUEST — HTTP Request variables
$_SESSION — Session variables
$_ENV — Environment variables
$_COOKIE — HTTP Cookies

Użytkownik Fili:P edytował ten post 14.11.2011 19:43

[nns]

Doszedłem że wystarczy dodać jedną pętle więcej

jakoś przywylem do budowania tablic bez array więc coś takiego

$tablica[0][1][2] = "aa".1+2."a";

$tablica[0][1][3] = "aa".1+2."a";

$tablica[0][2][2] = "aa".1+2."a";

$tablica[1][0][0] = "aa".1+2."a";

$tablica[1][1][2] = "aa".1+2."a";

@edit
O env to nie słyszałem.... albo było o tym nie wiele

Użytkownik nns edytował ten post 14.11.2011 19:45

[G[o]Q]

a po co zabezpieczac dane ktorych nie da sie wykrasc/zmienic/ lub sa nie uzyteczne ??

[-PainKiller-]

zacznijmy od tego że to nie jest zabezpieczanie tylko dynamiczne przepuszczanie danych przez funkcję i tak można przepuścić przez każdą funkcję... I to ma być zabezpieczanie? To tylko jedna z wielu metod która zrobi jakieś tam działania na ciągu.

[R3X]

nie jestem fanem tego rozwiązania, nie wszystkie dane z GET i POST to teksty, a nawet jeśli są teksty to nie wszystkie trafiają do bazy danych w zapytaniu

bardzo chętnie widziałbym tu klasę Request:: zwracającą przetworzone zgodnie z wymaganiami dane z konkretnego pola i dopiero jednym z parametrów powiedzmy getString mógłby być przełącznik: raw/escape