|
|
|||||
Регистрация: Oct 2005
Адрес: Климовск
Сообщений: 16
|
обработка сообщений
Достаточно ли при обработке сообщений следующих функций, чтобы сделать их безопасными для форума (или гостевой книги)?
Ну и еще в некоторых случаях substr |
|
|||||
[+1 23.05.11]
Регистрация: Dec 2001
Сообщений: 4,159
|
Ты задел бессмысленный вопрос. "Достаточно ли противогаза для безопасной жизни в городе?" Если использовать его для перебегания дороги на красный свет -- недостаточно.
|
|
|||||
Регистрация: Oct 2005
Адрес: Климовск
Сообщений: 16
|
Ну, хорошо, я подозревал, что недостаточно, но чего тогда недостает?
Хотя бы ссылочку дай. |
|
|||||
[+1 23.05.11]
Регистрация: Dec 2001
Сообщений: 4,159
|
Безопасность подразумевает обстоятельства. ЧТО ты собираешься делать с данными? Вот это и диктует то, КАКУЮ нужно использовать защиту.
__________________
GIT d++ s++:++ a C++$ UB++ P++ L+ E+ W+++ N++ w++ O+ M V- t-- 5-- X+ R+++ tv- b+++ D++ |
|
|||||
Регистрация: Oct 2005
Адрес: Климовск
Сообщений: 16
|
Ладно, будет ли сообщение безопасным для б/д и вывода на страницу, если его обработать вышеуказанными функциями
|
|
|||||
[+1 23.05.11]
Регистрация: Dec 2001
Сообщений: 4,159
|
Цитата:
Для вывода в HTML достаточно htmlspecialchars и urlencode (предполагается, что оба используются по назначению). Никакие substr и addslashes здесь для безопасности не нужны.
__________________
GIT d++ s++:++ a C++$ UB++ P++ L+ E+ W+++ N++ w++ O+ M V- t-- 5-- X+ R+++ tv- b+++ D++ |
|
|||||
Регистрация: Oct 2005
Адрес: Климовск
Сообщений: 16
|
спасибо за ответ
|
|
|||||
[+1 23.05.11]
Регистрация: Dec 2001
Сообщений: 4,159
|
Не забываем, кстати, про wordwrap (или лучше -- вручную написанный аналог). Но это уже к безопасности не относится.
__________________
GIT d++ s++:++ a C++$ UB++ P++ L+ E+ W+++ N++ w++ O+ M V- t-- 5-- X+ R+++ tv- b+++ D++ |
|
|||||
addslashes — нужны для добавления в базу, но только в виде
__________________
Что за дурь? 50 символов в подписи!? |
|
|||||
Ветеран форума
|
addslashes вообще не нужны, у каждой базы данных есть своя функция, которая ПРАВИЛЬНО экранирует запретные символы, применительно именно для этой базы данных
mysql_escape_string pg_escape_string и т.п. по аналогии |
Часовой пояс GMT +4, время: 06:44. |
|
« Предыдущая тема | Следующая тема » |
|
|