istORik [Off] [#] (25.10.2011 / 00:10)

Screamer (24.10.2011/23:59)
istORik, Да сколько в базу поместится столько и фильтруй.выводить как хочешь можно.описания функций глянь что в этой функции используются и смотри надо тебе так выводить или нет.в принципе ничего стрЕсли я правильно понял смануала то, то что ты мне дал это как бы совмещение различных функций в одну?
То есть чтоб постоянно не писать каждую функцию, их совмещают как бы в одной функции, например как ты дал check?

istORik [Off] [#] (24.10.2011 / 23:54)

Screamer (24.10.2011/11:37)
istORik, $var = addslashes($var);
$var = stripslashes($var);

Зачем убирать их потом?
Возьми со ждона функцию check()
И можешь не боятся
Вот она:
[php] /*
--------------------------------Уговорил :-)
Слушай, с помощью этой функции можно фильтровать большой текст который в базу записывается? Если да, то потом можно и без фильтрации его выводить?

istORik [Off] [#] (24.10.2011 / 13:19)

ДУХ (24.10.2011/12:49)
:кодер: а сам будешь быдлокодеромТы пра что?!

ДУХ [Off] [#] (24.10.2011 / 12:49)

:кодер: а сам будешь быдлокодером
Изм. ДУХ (24.10.2011 / 12:49) [1]

istORik [Off] [#] (24.10.2011 / 12:16)

Screamer (24.10.2011/11:37)
istORik, $var = addslashes($var);
$var = stripslashes($var);

Зачем убирать их потом?
Возьми со ждона функцию check()
И можешь не боятся
Вот она:
[php] /*
--------------------------------Спасибо, но я тут сам пытаюсь химичить.
Учусь методом проб и ошибок, поэтому готовое выдирать не хочу.
Единственное что я НИКАК не могу найти и осилить это как сделать постраничную навигацию.

istORik [Off] [#] (24.10.2011 / 10:37)

Во, эта тема особа интересна)
Есть такая функция обработки данных

С помощью данной функции принимаю все данные которые идут в таблицу, например данные

идут в таблицу

Возможно ли тут сломать или сделать бяку?

john77 (SV!) [Off] [#] (14.12.2009 / 12:12) чморылое одоробло

LYCUK (14.12.2009/13:32)
Это-же запросы к базе.Они соотносятсо к скрипту который построен на базе данных. ===== Принцип атаки внедрения SQL Допустим, серверное ПО, получив входной параметр id, использует его для создания SQL-В данном случае выручит intval()

LYCUK [Off] [#] (14.12.2009 / 10:33)

Кароче если ты с компа то можеш посмареть взлом своими глазами по видеоРолику гг я ржал
http://www.youtube.com/watch?v ... BsIOY

LYCUK [Off] [#] (14.12.2009 / 10:32)

Это-же запросы к базе.Они соотносятсо к скрипту который построен на базе данных.
=====
Принцип атаки внедрения SQL
Допустим, серверное ПО, получив входной параметр id, использует его для создания SQL-запроса. Рассмотрим следующий PHP-скрипт:
# Предыдущий код скрипта...
$id = $_REQUEST['id'];
$res = mysql_query("SELECT * FROM news WHERE id_news = $id");
# Следующий код скрипта...
Если на сервер передан параметр id, равный 5 (например так: http://example.org/script.php?id=5), то выполнится следующий SQL-запрос:
SELECT * FROM news WHERE id_news = 5
Но если злоумышленник передаст в качестве параметра id строку -1 OR 1=1 (например, так: http://example.org/script.php? ... R+1=1), то выполнится запрос:
SELECT * FROM news WHERE id_news = -1 OR 1=1
Таким образом, изменение входных параметров путём добавления в них конструкций языка SQL вызывает изменение в логике выполнения SQL-запроса (в данном примере вместо новости с заданным идентификатором будут выбраны все имеющиеся в базе новости, поскольку выражение 1=1 всегда истинно).

AxqpxA [Off] [#] (20.10.2009 / 20:16) хуйгомноебаллапатай

Дедушко_АнаниЙ, Х.м я как то о этом даже не задумывался

AxqpxA [Off] [#] (20.10.2009 / 20:14) хуйгомноебаллапатай

Дедушко_АнаниЙ, Ну так я спрашиваю, какая разница что я буду экранирывать при записи, либо при выводе? что это мне дает?

Дедушко_АнаниЙ [Off] [#] (20.10.2009 / 20:13)

AxqpxA (21.10.2009/00:10)
Дедушко_АнаниЙ, это я понял! я не понимаю разницы, если экранирова при записи, либо выводе Есть большая разница.
С необработанным текстом легче работать.
К примеру, надо тебе порезать на 200 символов. А вдруг, эта обрезка попадает на XHTML сущность, например, посередине & и вот тебе, ошибка XHTML.
---
Я на форуме JohnCMS смог полностью избавиться от этих ошибок только тогда, когда перевел на чистое хранение.
---
Ну а короткие тексты, типа названия статьи, или ника, или города, можно обрабатывать и на входе, разницы нет.

Дедушко_АнаниЙ [Off] [#] (20.10.2009 / 20:10)

В JohnCMS например так и сделано.
На форуме, данные хранятся так. как поступают от клиента, при записи обрабатываются реал_ескейпом, а при выводе htmlentities()

AxqpxA [Off] [#] (20.10.2009 / 20:10) хуйгомноебаллапатай

Дедушко_АнаниЙ, это я понял! я не понимаю разницы, если экранирова при записи, либо выводе

Kolyan [Off] [#] (20.10.2009 / 20:07)

Отображается.Че дальше? )

Дедушко_АнаниЙ [Off] [#] (20.10.2009 / 20:06)

То есть, реал_ескейп для того и предназначен, что экранирует все опасные для базы символы, которые могут быть восприняты как управляющие.

Kolyan [Off] [#] (20.10.2009 / 20:05)

Пиздец логика
echo '';

Дедушко_АнаниЙ [Off] [#] (20.10.2009 / 20:05)

Ну я же и написал выше.
Когда принимаешь от клиента обрабатывай

$text = trim($_POST['text']);

это ты занес в переменную, но в базу еще добавлять нельзя, будет инъекция.
Перед добавлением нужно обработать:
$text = mysql_real_escape_string($text);
И все, инъекция уже не страшна.
---
А когда достаешь из базы и выводишь в браузер, нужно обработать htmlentities() или htmlspecialchars() чтоб хакеры не подпихнули всякую гадость.
И будет тебе счастье

AxqpxA [Off] [#] (20.10.2009 / 20:03) хуйгомноебаллапатай

Kolyan (20.10.2009/23:41)
Речь идет о обработке данных посетителя ...Ну ...все равно идиот ( Зачем echo''; пихать в базу?еба! допустим сайт для мастеров! и вот кто то вставляет кусок кода, и там присутствует одинарная кавычка! логично?

AxqpxA [Off] [#] (20.10.2009 / 20:00) хуйгомноебаллапатай

Дедушко_АнаниЙ, Я вот кодингом занимаюсь буквально полтора месяца! просвети не опытного, чем лучше если сохранять в том виде, в котором поступают от юзера?