Защита входных данных.

@javasc · Регистрация: 08.11.2010

Студворк — интернет-сервис помощи студентам

Через wysiwyg редактор поступают входные данных в БД mysql:

<p allign="center">fdsfsdfdfsdfd dsfsdfsd dsfsdfsdf </p>
<p allign="left">fdsfsdfdfsdfd dsfsdfsd dsfsdfsdf </p>

Какими функциями обработать? Ведь это полноценный html код

@romchiksoad · 29.11.2010, 13:34

Вообще ничего не понял. Что Вам нужно-то?

@javasc · 29.11.2010, 14:04 **[ТС]**

Данные (html-код) поступают в mysql через метод post

mysql_real_escape_string, htmlspecialchars.. Что использовать, чтобы полностью защититься от любых xss и sql и что там еще есть?

@romchiksoad · 29.11.2010, 20:16

javasc, Вам надо что бы html-код вообще отсекался от текста? Для этого есть функция strip_tags();. Она принимает 2 параметра:
1) текст, в котором нужно удалить теги;
2) теги, которые можно не удалять
Пример:

PHP
1
2
3
4
<?php
$str = '<p allign="center">fdsfsdfdfsdfd dsfsdfsd dsfsdfsdf </p><br />';
echo strip_tags( $str, '<br />' );
?>

Второй параметр функции не обязателен.
Если Вам надо просто обезопасить данные, то функции

Сообщение от javasc

mysql_real_escape_string, htmlspecialchars..

вполне достаточно

@javasc · 29.11.2010, 22:43 **[ТС]**

Второй параметр функции не обязателен.
Если Вам надо просто обезопасить данные, то функции
вполне достаточно

Сайт серьезный очень, недопустимо чтобы если что то будет не так, случился какой сбой :=(

@romchiksoad · 30.11.2010, 10:59

javasc, всегда найдется умник, который и организует этот сбой. Первое правило безопасности PHP-скриптов - проверять все данные, которые приходят от посетителя. К примеру, забивать типы определенных данных и проверять их на соответствие указанному типу. К примеру, $_GET['id'] может быть только целочисленным числом, тогда и проверка должна быть на этот тип: if ( is_int( $_GET['id'] ) ). Ну и то, что писалось выше. Это безусловно не все, но сразу всего и не предусмотришь ведь

@javasc · 17.12.2010, 15:21 **[ТС]**

Сообщение от romchiksoad

javasc, всегда найдется умник, который и организует этот сбой. Первое правило безопасности PHP-скриптов - проверять все данные, которые приходят от посетителя. К примеру, забивать типы определенных данных и проверять их на соответствие указанному типу. К примеру, $_GET['id'] может быть только целочисленным числом, тогда и проверка должна быть на этот тип: if ( is_int( $_GET['id'] ) ). Ну и то, что писалось выше. Это безусловно не все, но сразу всего и не предусмотришь ведь

Вопрос конкретно про поле БД содержащее любой html код.
Конкретно для него на крупных сайтах хватило бы mysql_real_escape_string для избавления от sql-injection (другие атаки не рассматриваем)?

@ostgals · 17.12.2010, 15:26

Это тоже "всего лишь" HTML-код:

HTML5
1
<script type="text/javascript">window.location="http://xxxporno.com"</script>

@javasc · 17.12.2010, 17:44 **[ТС]**

Это уже xss а не sql-injection.
В БД то пусть такая строка хранится если нужно....При выводе выводить её через htmlspecialchars.

А мне интересно имеенно предотвращение sql-иньекции...Есть еще варианты?

@ostgals · 17.12.2010, 19:26

Сообщение от javasc

А мне интересно имеенно предотвращение sql-иньекции...Есть еще варианты?

mysql_real_escape_string хватит за глаза.

Новые блоги и статьи Все статьи Все блоги /
SDL3 для Web (WebAssembly): Подключение Box2D v3, физика и отрисовка коллайдеров 8Observer8 12.02.2026 Содержание блога Box2D - это библиотека для 2D физики для анимаций и игр. С её помощью можно определять были ли коллизии между конкретными объектами и вызывать обработчики событий столкновения. . . .	SDL3 для Web (WebAssembly): Загрузка PNG с прозрачным фоном с помощью SDL_LoadPNG (без SDL3_image) 8Observer8 11.02.2026 Содержание блога Библиотека SDL3 содержит встроенные инструменты для базовой работы с изображениями - без использования библиотеки SDL3_image. Пошагово создадим проект для загрузки изображения. . .	SDL3 для Web (WebAssembly): Загрузка PNG с прозрачным фоном с помощью SDL3_image 8Observer8 10.02.2026 Содержание блога Библиотека SDL3_image содержит инструменты для расширенной работы с изображениями. Пошагово создадим проект для загрузки изображения формата PNG с альфа-каналом (с прозрачным. . .	Установка Qt-версии Lazarus IDE в Debian Trixie Xfce volvo 10.02.2026 В общем, достали меня глюки IDE Лазаруса, собранной с использованием набора виджетов Gtk2 (конкретно: если набирать текст в редакторе и вызвать подсказку через Ctrl+Space, то после закрытия окошка. . .
SDL3 для Web (WebAssembly): Работа со звуком через SDL3_mixer 8Observer8 08.02.2026 Содержание блога Пошагово создадим проект для загрузки звукового файла и воспроизведения звука с помощью библиотеки SDL3_mixer. Звук будет воспроизводиться по клику мышки по холсту на Desktop и по. . .	SDL3 для Web (WebAssembly): Основы отладки веб-приложений на SDL3 по USB и Wi-Fi, запущенных в браузере мобильных устройств 8Observer8 07.02.2026 Содержание блога Браузер Chrome имеет средства для отладки мобильных веб-приложений по USB. В этой пошаговой инструкции ограничимся работой с консолью. Вывод в консоль - это часть процесса. . .	SDL3 для Web (WebAssembly): Обработчик клика мыши в браузере ПК и касания экрана в браузере на мобильном устройстве 8Observer8 02.02.2026 Содержание блога Для начала пошагово создадим рабочий пример для подготовки к экспериментам в браузере ПК и в браузере мобильного устройства. Потом напишем обработчик клика мыши и обработчик. . .	Философия технологии iceja 01.02.2026 На мой взгляд у человека в технических проектах остается роль генерального директора. Все остальное нейронки делают уже лучше человека. Они не могут нести предпринимательские риски, не могут. . .

@romchiksoad 1957 / 796 / 89 Регистрация: 03.11.2009 Сообщений: 3,066 Записей в блоге: 2
	29.11.2010, 13:34
	Вообще ничего не понял. Что Вам нужно-то? 1

@javasc 6 / 5 / 2 Регистрация: 08.11.2010 Сообщений: 192
	29.11.2010, 14:04 [ТС]
	Данные (html-код) поступают в mysql через метод post mysql_real_escape_string, htmlspecialchars.. Что использовать, чтобы полностью защититься от любых xss и sql и что там еще есть? 0

@romchiksoad 1957 / 796 / 89 Регистрация: 03.11.2009 Сообщений: 3,066 Записей в блоге: 2
	30.11.2010, 10:59
	javasc, всегда найдется умник, который и организует этот сбой. Первое правило безопасности PHP-скриптов - проверять все данные, которые приходят от посетителя. К примеру, забивать типы определенных данных и проверять их на соответствие указанному типу. К примеру, $_GET['id'] может быть только целочисленным числом, тогда и проверка должна быть на этот тип: if ( is_int( $_GET['id'] ) ). Ну и то, что писалось выше. Это безусловно не все, но сразу всего и не предусмотришь ведь 0

@javasc 6 / 5 / 2 Регистрация: 08.11.2010 Сообщений: 192
	17.12.2010, 17:44 [ТС]
	Это уже xss а не sql-injection. В БД то пусть такая строка хранится если нужно....При выводе выводить её через htmlspecialchars. А мне интересно имеенно предотвращение sql-иньекции...Есть еще варианты? 0