Melyik függvények kellenek adatbázisba mentéskor és kiíratáskor?

geforce9600gt · 2014. Jan. 10. (P), 13.24

Sziasztok

Űrlapról adatokat mentek, majd az oldalon kiíratom. Mentéskor milyen függvényeket rakjak az űrlapról jövő változókra? És ugyanez kiíráskor is..?

Real_escape,htmlspecialchars, meg még van egy pár... Mikor melyik kell az a konkrét kérdésem. Köszönöm

■

csirip

Különböző

Poetro · 2014. Jan. 10. (P), 13.37

Teljesen különbözőek kellenek. Írás előtt előbb validálni kell, hogy minden adat, ami a felhasználótól származik, megfelelő formátumú és megfelelő adatot tartalmaz. Ha egy szám 0-10-ig, akkor tényleg egy szám ebben az intervallumban. Ha HTML, akkor valid HTML és nem tartalmaz XSS kódot. Ha szöveg, akkor annak hossza és formátuma megfelel a feltételeknek (pl. email és URL esetén). Ezután az adatbázisba írás előtt azt megfelelően escape-elni kell, illetve amennyiben lehetséges, akkor inkább prepared query-ket kell használni, amik automatikusan elvégzik az escape-elést.
Kiiratáskor meg természetesen htmlspecialchars, ha HTML-t kell kiíratni, akkor pedig XSS-t is kell ellenőrízni.

A hozzászóláshoz regisztráció és belépés szükséges
új téma

Akkor mindent amit kiíratok,

geforce9600gt · 2014. Jan. 10. (P), 13.46

Akkor mindent amit kiíratok, a kiírásnál a htmlspecialchars kell rá, például ha beírnak egy scriptet egy alert-et mondjuk, akkor az ne fusson le.

Xss-t hogy ellenőrzöm?

A hozzászóláshoz regisztráció és belépés szükséges
új téma

Xss-t hogy ellenőrzöm?

Poetro · 2014. Jan. 10. (P), 13.59

Xss-t hogy ellenőrzöm?

Van rá rengeteg eszköz, vannak jobbak, rosszabbak, a legkiterjedtebb és elterjedtebb talán az HTML Purifier, de vannak még mások is

A hozzászóláshoz regisztráció és belépés szükséges
új téma

Oké megnézem köszi.

geforce9600gt · 2014. Jan. 10. (P), 14.10

Oké megnézem köszi. Htmlspecials chars meg lényegében mindenre amit ki íratok?

A hozzászóláshoz regisztráció és belépés szükséges
új téma

Amit HTML-be íratsz ki.

bamegakapa · 2014. Jan. 10. (P), 14.15

Amit HTML-be íratsz ki. Nyilván ha JSON-ba, akkor nem ez kell :).

A hozzászóláshoz regisztráció és belépés szükséges
új téma

Persze, divekbe például.

geforce9600gt · 2014. Jan. 10. (P), 14.25

Persze, divekbe például.

A hozzászóláshoz regisztráció és belépés szükséges
új téma

Ha pedig számról van

geforce9600gt · 2014. Jan. 10. (P), 14.44

Ha pedig számról van szó,például GET-ben átadott id, akkor annál elég csak az intval() ugye?

A hozzászóláshoz regisztráció és belépés szükséges
új téma

Friss blogmarkok

Web Akadálymentesítési Útmutató (WCAG) 2.1 – nyilvános munkaterv – Megjelent a WCAG (Web Akadálymentesítési Útmutató) 2.1 nyilvános munkaterv (0)
MongoDB Apocalypse Is Here as Ransom Attacks Hit 10,000 Servers – Több tízezer védtelen MongoDB szerverre csaptak le hackerek (2)
12 Signs You’re Working in a Feature Factory – A cél nélküli funkciógyártás néhány tünete (0)
Translatable, custom dates in Twig templates of Drupal 8 – Saját dátumok megjelenítése, fordíthatóan a Drupal 8 smink rétegével dolgozva (0)
NativeScript – Cross-Platform Native Development with Javascript – Fejlesszünk natív mobilalkalmazást JavaScripttel (0)
GitHub Security Update: Reused password attack – Érdemes bekapcsolni a kétfaktoros azonosítást, ha a GitHub jelszavunkat más oldalakon is újra felhasználtuk (17)
UX Design könyv – Hogyan tervezz felhasználóbarát és szerethető alkalmazásokat? (0)
Introducing unlimited private repositories – Megváltozik a GitHub díjszabása: minden előfizetéshez korlátlan számú privát repository jár (0)
Drupal 8 Twig: add custom CSS classes to menus (based on menu name) – Saját elképzeléseink szerinti CSS osztályok (automatizált) hozzáadása a Drupal 8 menüihez (0)

tovább»

április 2024
H	K	Sze	Cs	P	Szo	V
1	2	3	4	5	6	7
8	9	10	11	12	13	14
15	16	17	18	19	20	21
22	23	24	25	26	27	28
29	30	1	2	3	4	5

április 2024

Sze

Szo

Weblabor

Keresés