Дедушко_АнаниЙ [Off] [#] (20.10.2009 / 19:50)

Есть хорошее правило, что данные надо хранить в том виде, как они поступают от клиента.
Если данные загружаешь в базу, то опасные (управляющие для базы) символы нужно прослэшивать.
Лучше всего с этим справляется mysql_real_escape_string()

А вот уже при выводе в браузер, можно обрабатывать HTML символы и прочую хуйню.

Дедушко_АнаниЙ [Off] [#] (20.10.2009 / 19:47)

AxqpxA (20.10.2009/23:08)
Ну допустим если написать такой текст echo 'text'; то htmlspecialchars() не даст записать в базу htmlspecialchars() обрабатывает далеко не все символы.
Я например предпочитаю htmlentities() с параметром ENT_QUOTES и UTF-8

Kolyan [Off] [#] (20.10.2009 / 19:41)

Речь идет о обработке данных посетителя ...Ну ...все равно идиот ( Зачем echo''; пихать в базу?

AxqpxA [Off] [#] (20.10.2009 / 19:08) хуйгомноебаллапатай

Ну допустим если написать такой текст echo 'text'; то htmlspecialchars() не даст записать в базу

AlkatraZ (SV!) [Off] [#] (20.10.2009 / 17:22) Уездный предводитель Каманчей

AxqpxA (20.10.2009/20:24)
я вообще не пользуюсь не mysql_real_escape_string() не htmlspecialchars() не пользуюсь! я написал свою функцию замены символов, на html теги Напрасно.
Не следует изобретать велосипед, если он уже изобретен и выполняет свои функции.
Встроенные функции в большинстве случаев намного быстрее.

Kolyan [Off] [#] (20.10.2009 / 16:31)

АхqрхА, идиот если честно. Зачем писать функции если они уже есть .
Изм. Kolyan (20.10.2009 / 16:34) [1]

AxqpxA [Off] [#] (20.10.2009 / 16:24) хуйгомноебаллапатай

я вообще не пользуюсь не mysql_real_escape_string() не htmlspecialchars() не пользуюсь! я написал свою функцию замены символов, на html теги

Esi0n [Off] [#] (08.01.2009 / 20:32)

Это ж интересно

Герц [Off] [#] (08.01.2009 / 20:00) Прокуратор GW

Согласен. Только чтобы известить себя об этом, приходится подолгу гонять систему для отлова багов...

Esi0n [Off] [#] (08.01.2009 / 19:49)

Можно закрыть любую дыру если она извесна

Герц [Off] [#] (08.01.2009 / 19:15) Прокуратор GW

Прочитал вас, и камень с души. А то после того как прочитал вот эту вот хуйню -> http://forum.hack-team.info/fo ... ?f=43 У меня заиграло очко... Значит эффективно защититься от всяких инъекций можно

voloshyn [Off] [#] (25.06.2008 / 05:04)

у мня тоже была такая проблема была.

Gemorroj [Off] [#] (29.03.2008 / 15:33)

режь по пробелам или переносам строк =)

AlkatraZ (SV!) [Off] [#] (28.03.2008 / 17:38) Уездный предводитель Каманчей

Простой пример из практики.
Библиотека в нашем двиге ЗАЕБАЛА ошибками XHTML на некоторых текстах.
При анализе ситуации, я понял, что все дело в фильтрации на входе, когда тэги (если есть в тексте) преобразуются в сущности.
Затем при выводе и разбивке по страницам (резка строки по длине), эта самая сущность тэга может порезаться посередине. И при выводе в браузер получаем хуйню.
В последней версии библиотеки, применено хранение данных в чистом виде (см. выше), при чтении статьи, сначала идет резка по страницам, а уж перед самым выводом в браузер, делается преобразование тегов и спецсимволов в их сущности и проводится дополнительная фильтрация.
Работает как часы, про ошибки XHTML можно забыть

AlkatraZ (SV!) [Off] [#] (28.03.2008 / 17:31) Уездный предводитель Каманчей

Давайте разберем все по частям.
1) Данные, которые уже попали в MySQL при хранении безопасны (если их не трогать руками гг)
2) Нам нужно обезопаситься при добавлении данных. Для этого приводим полученные данные к нужному виду (числа - intval(), и др...), а строковые данные прослэшиваем с помощью mysql_real_escape_string()
3) Соответственно, данные у нас хранятся В ТОМ ВИДЕ, как получены (а это хорошо).
4) А уже при выводе данных из базы, мы их и будем обрабатывать нужным нам образом.

AlkatraZ (SV!) [Off] [#] (28.03.2008 / 17:27) Уездный предводитель Каманчей

Так и тут, ненадо зацикливаться на стандартных, заезженных штампах.

AlkatraZ (SV!) [Off] [#] (28.03.2008 / 17:26) Уездный предводитель Каманчей

При работе с новыми проектами, главное не зацикливаться на стандартных штампах гг.
Энштейна как то спросили, как делаются гениальные открытия?
Он ответил:
Есть задача, про которую ВСЕ знают, что ее нельзя решить.
И вдруг находится болван, который этого не знает, садится за задачу, решает ее и таким образом делает открытие! гг

Падонагъ [Off] [#] (28.03.2008 / 16:25)

ну если они хранятся в чистом виде,то будем ессно обрабатывать их как минимум htmlspecialchars()

Gemorroj [Off] [#] (28.03.2008 / 16:15)

в том-то и дело, что данным получаемым из базы практически всегда 100% доверие. часто ли ты обрабатываешь данные получаемые из базы?

Падонагъ [Off] [#] (28.03.2008 / 16:08)

ну при выводе эта инфа будет обработана. Или есть какие то способы воспользоваться всякими символами прямо в базе?