Насчет фильтрации и хранении данных.

Тема закрыта
847
.
design your universe
Видел это еще в коде Сиеры,терь так пищу)
.
╭∩╮ (`-`) ╭∩╮
Анекдот в тему:

Очень часто, после хорошей проверки, надежный тыл оказывается беззащитной жопой!
.
OnLine Quest Game
У меня такой вопрос.
Есть большой текст который записывается в базу.
Перед записью фильтрую
mysql_real_escape_string($text);

вывожу из базы так
checkout($res['name'], 1, 1)

Вопрос,будет ли уязвимость или нет?
Просто мне при выводе нужно поддержка тегов.
.
localhost (09.02.2012/08:52)
У меня такой вопрос.
Есть большой текст который записывается в базу.
Перед записью фильтрую
mysql_real_escape_string($text);

вывожу из базы так
checkout($res['name'], 1, 1)
ты ведь отфильтровал текст при помощи mysql_real_escape_string.
.
OnLine Quest Game
Saturn (09.02.2012/09:23)
ты ведь отфильтровал текст при помощи mysql_real_escape_string.
Эта функция для экранирования опасных символов при записи в базу,но никак не при выводе из нее.
.
Я делаю так:
Для varchar полей (обычно они у меня отдаются для имен,, заголовком и т.п, их не нужно обрабатывать ббкодами, смайлами, и пробелы не нужны) их я обрабатываю htmlentitlies(); и прямиков пихаю в БД. То есть символы сохраняются в виде кода (#0123;), а поля text (ну естественно они для сообщений) их только через mysql_escape_string(); в БД пихаю.
.
OnLine Quest Game
Windler (09.02.2012/10:34)
Я делаю так:
Для varchar полей (обычно они у меня отдаются для имен,, заголовком и т.п, их не нужно обрабатывать ббкодами, смайлами, и пробелы не нужны) их я обрабатываю htmlentitlies(); и прямиков п
Ну насчет базы то понятно,я сам так делаю.
Мне важен вывод из базы,и мне в выводе нужна поддержка бб кодов.
.
точка невозврата
localhost, при вводе mysql_real_escape_string, при выводе htmlspecialchars и нет проблем
.
Не будит уязвимости.
теме 2 с лишним года зачем ее было поднимать, есть более актуальная тема - вопросы по php и mysql там и нужно задавать вопросы
Всего: 29