безопасность получения сообщения

@Nebiros · Регистрация: 23.03.2010

Студворк — интернет-сервис помощи студентам

Вот приходит POSTом с <textarea> содержимое и помещяется в $message , что дальше делать , как фильтровать что бы никакой вредоносный текст введенный в поле не нарушил работу?

Vovan-VE · 30.10.2010, 12:51

Минимум: Когда будете сохранять текст в БД, не забудьте заэкранировать все, что нужно. Когда будете его отображать обратно, не забудьте сделать htmlspecialchars() и опционально nl2br().

По вкусу дополнительная фильтрация: порезать длинные_слова_без_пробелов, убрать ненужные повторяющиеся пробельные символы (сначала надо подумать, а какие когда будут лишними, и когда не будут), и т.п.

@Nebiros · 30.10.2010, 13:41 **[ТС]**

Сообщение от Vovan-VE

не забудьте сделать htmlspecialchars() и опционально nl2br().

чтото у меня с этим проблемки. залез сюда http://php.su/functions/?htmlspecialchars , делаю все по примеру но у них результат (<a href='test'>Test</a&gt

, а у меня (<a href='test'>Test</a><a href='test'>Test</a>) , я даж не переписывал а тупо скопировал и ноль.
В чем моя ошибка , или то описание устарело?

Добавлено через 6 минут
Да кстати тут же по теме , если например в сообщении написать <script> alert('alert'); </script> то он выполнится на серверной стороне (проверял работает) но естественно за месть alert там можно что угодно за код написать. Как этого избежать?

Vovan-VE · 30.10.2010, 14:09

Сообщение от Nebiros

но у них результат (<a href=..., а у меня (<a href=

PHP
1
echo '<p>' . htmlspecialchars('<p></p>') . '</p>';

Сообщение от Nebiros

написать <script> alert('alert'); </script> то он выполнится на серверной стороне (проверял работает)

Во-первых, на сервере ничего не выполнится, а, во-вторых, если сделаете htmlspecialchars() по-человечески, то и у клиента будет порядок.

@Nebiros · 30.10.2010, 14:23 **[ТС]**

Сообщение от Vovan-VE

echo '<p>' . htmlspecialchars('<p></p>') . </p>;

если так написать то будет ошибка , так как последнее </p> не в кавычках , но эт такое. Я так и непонял к чему его применить. вот у меня есть переменная $message коорую я получил постом , как все знаки перевести, просто $message=htmlspecialchars($message); не катит , хотя в описании читал должно преобразовать. А echo '<p>' . htmlspecialchars('<p></p>') . </p> что с этим делать непойму , не дошло еще обьясните?

Vovan-VE · 30.10.2010, 14:26

Nebiros, Все правильно преобразуется. Было "<p>test</p>" и в браузер оно выводилось, как тег <p>. После htmlspecialchars() оно стало "<p>test</p>" и в браузер оно стало выводиться, как текст "<p>test</p>", а не как тег. Вам это и надо.

@Nebiros · 30.10.2010, 14:35 **[ТС]**

Сообщение от Vovan-VE

Nebiros, Все правильно преобразуется. Было "<p>test</p>" и в браузер оно выводилось, как тег <p>. После htmlspecialchars() оно стало "<p>test</p>" и в браузер оно стало выводиться, как текст "<p>test</p>", а не как тег. Вам это и надо.

так проверил по подставлял и все получается кроме кавычек . Вот сдесь я так понял нужно правильно заэкранировать , текст с кавычками также не записывается в БД , короче у меня почемуто htmlspecialchars() - переводит все знаки кроме кавычек , что и как правильно сделать?

Vovan-VE · 30.10.2010, 14:37

PHP
1
echo htmlspecialchars("test \" test ' test ", ENT_QUOTES); // test &quote; test &#0З9; test

@Nebiros · 30.10.2010, 15:53 **[ТС]**

вот накопал решение

PHP
1
2
3
$message=$_POST['message'];
$message=addslashes($message);
$message=htmlspecialchars($message,ENT_QUOTES);

работает вроде нормально и записывает в базу и читает , безопасно но ли использовать такую конструкцию?

__PION__ · 31.10.2010, 03:12

Nebiros, чтобы было безопасно, надо все эти сра.. волшебные кавычки отключить с помощью файла .haccess и гемора с кавычками не будет, типа так

PHP
1
2
php_flag magic_quotes_gpc 0
php_flag magic_quotes_runtime 0

и сделать sql-инъекцию, т.е. заменить строковые данные из БД на %s, целоцисленные на %d, дроб. на %f ... и т.д.
если конечно я правильно понял твой вопрос

Новые блоги и статьи Все статьи Все блоги /
Первый деплой lagorue 16.01.2026 Не спеша развернул своё 1ое приложение в kubernetes. А дальше мне интересно создать 1фронтэнд приложения и 2 бэкэнд приложения развернуть 2 деплоя в кубере получится 2 сервиса и что-бы они. . .	Расчёт переходных процессов в цепи постоянного тока igorrr37 16.01.2026 / * Дана цепь постоянного тока с R, L, C, k(ключ), U, E, J. Программа составляет систему уравнений по 1 и 2 законам Кирхгофа, решает её и находит токи на L и напряжения на C в установ. режимах до и. . .	Восстановить юзерскрипты Greasemonkey из бэкапа браузера damix 15.01.2026 Если восстановить из бэкапа профиль Firefox после переустановки винды, то список юзерскриптов в Greasemonkey будет пустым. Но восстановить их можно так. Для этого понадобится консольная утилита. . .	Изучаю kubernetes lagorue 13.01.2026 А пригодятся-ли мне знания kubernetes в России?
Сукцессия микоризы: основная теория в виде двух уравнений. anaschu 11.01.2026 https:/ / rutube. ru/ video/ 7a537f578d808e67a3c6fd818a44a5c4/	WordPad для Windows 11 Jel 10.01.2026 WordPad для Windows 11 — это приложение, которое восстанавливает классический текстовый редактор WordPad в операционной системе Windows 11. После того как Microsoft исключила WordPad из. . .	Classic Notepad for Windows 11 Jel 10.01.2026 Old Classic Notepad for Windows 11 Приложение для Windows 11, позволяющее пользователям вернуть классическую версию текстового редактора «Блокнот» из Windows 10. Программа предоставляет более. . .	Почему дизайн решает? Neotwalker 09.01.2026 В современном мире, где конкуренция за внимание потребителя достигла пика, дизайн становится мощным инструментом для успеха бренда. Это не просто красивый внешний вид продукта или сайта — это. . .

@Nebiros 41 / 40 / 16 Регистрация: 23.03.2010 Сообщений: 3,122

	безопасность получения сообщения 30.10.2010, 12:14. Показов 961. Ответов 9 Метки нет (Все метки) Вот приходит POSTом с <textarea> содержимое и помещяется в $message , что дальше делать , как фильтровать что бы никакой вредоносный текст введенный в поле не нарушил работу? 0

Vovan-VE 13210 / 6599 / 1041 Регистрация: 10.01.2008 Сообщений: 15,069
	30.10.2010, 12:51
	Минимум: Когда будете сохранять текст в БД, не забудьте заэкранировать все, что нужно. Когда будете его отображать обратно, не забудьте сделать htmlspecialchars() и опционально nl2br(). По вкусу дополнительная фильтрация: порезать длинные_слова_без_пробелов, убрать ненужные повторяющиеся пробельные символы (сначала надо подумать, а какие когда будут лишними, и когда не будут), и т.п. 1

Vovan-VE 13210 / 6599 / 1041 Регистрация: 10.01.2008 Сообщений: 15,069
	30.10.2010, 14:26
	Nebiros, Все правильно преобразуется. Было "<p>test</p>" и в браузер оно выводилось, как тег <p>. После htmlspecialchars() оно стало "<p>test</p>" и в браузер оно стало выводиться, как текст "<p>test</p>", а не как тег. Вам это и надо. 1