нужна ли здесь фильтрация какая нибудь?

Тема закрыта
1.16K
.
SlaXxX (22.04.2009/21:48)
фильтрация лишней не бывает гг
бывает. . чат Мазафаки:
$id = mysql_real_escape_string(htmlspecialchars(trim(intval($_GET['id']))));
на говнокоде выкладывали его. пишу на память может и не так че
.
Мега Куль Кодер
ну тут явно перебор гг
.
Wap Master
Chizh (23.04.2009/04:33)
бывает. . чат Мазафаки:
$id = mysql_real_escape_string(htmlspecialchars(trim(intval($_GET['id']))));
на говнокоде выкладывали его. пишу на память может и не так че
Капец гг надо было еще чек всунуть для полной красоты, хотя в данном случае достаточно этого $id=intva($_GET['id']); или лучше так $id=abs(intva($_GET['id']));
.
во непробиваемая защита http://govnokod.ru/563
.
ПеревозЧЕГ
Лопух Паутинистый
чтобы не создавать новую тему напишу здесь. Нужно ли фильтровать данные которые идут из базы и вставляются в форму? Я думаю не нужно так как там нет возможности xss впихнуть вроде, раз все данные будут в форме.
.
На всякий случай htmlspecialchars() обработай, чтобы синтаксических ошибок не было. Хотя даже не знаю могут ли они вообще возникнуть, если данные в форме
.
Нет, фильтруются,экранируются,очищаются лишь те данные,которые заносятся в базу . Данные из базы в повторной обработке не нуждаются
// Порой даже от чайника )) можно наблюдать умное лицо и мудрый пост гг
.
ПеревозЧЕГ
Лопух Паутинистый
Николай, вот здесь ты ошибаешься. Когда заносишь в базу данных ты обрабатываешь mysql_real_escape_string это защищает от инъекций, но когда берешь данные из базы и выводишь в браузер нужно обработать htmlspecialchars иначе есть возможность подхватить xss
.
Николай (23.10.2009/23:05)
// Порой даже от чайника )) можно наблюдать умное лицо и мудрый пост гг
Полностью с тобой согласен бу га га
Дорогой мой, прежде чем писать подобные высеры, та ещё и в разных темах, подумай над тем имеешь ли ты на это достаточно оснований и какие могут быть последствия.
.
Я обрабатываю хтмлчарс , экрамирую,затем заношу в базу . Зачем обрабатывать хтмлчарсом,когда в базе все норм )
Всего: 59