#1 16.06.06 10:53
[php]"Безопасность" гостевой
схема стандартна: три поля ввода $name, $email, $message; проверка ввода на валидность идёт в js;сии данные заносять с в бд и уже оттуда происходит вывод.Так вот перед добавлением :
Код: php:
//отправка только из формы $name = $_POST['name']; $email = $_POST['email']; $message = $_POST['message'];
Код: php:
//кавычкы в топку $name = ereg_replace("\"", " ", $name); $email = ereg_replace("\"", " ", $email);
Код: php:
//заменяем кавычки на ёлочки в месаге $pattern = '|"([^"]*)"|i'; $replacement = "«\\1»"; $message = preg_replace($pattern, $replacement, $message);
Код: php:
//ну и собственно "по стандарту" $name=htmlspecialchars($name); $email=htmlspecialchars($email); nl2br($message);
этих "телодвижений" достаточно что бы "спать спокойно" ?
Offline
#4 16.06.06 11:51
Re: [php]"Безопасность" гостевой
Karminsky написал(а):
iDrum написал(а):
$name = substr($name,0,30); $email = substr($email,0,30); $message = substr($message,0,350);
я бы за такой сипык разработчика убил... ограничивать надо формы на maxlenght
ну ясень пень что есть максленгтх, просто обойти его как два пальца
Offline
#7 16.06.06 16:12
Re: [php]"Безопасность" гостевой
//отправка только из формы
$name = $_POST['name'];
$email = $_POST['email'];
$message = $_POST['message'];
Я такое не только из формы смогу отправить, лучше добавь ещё "капчу" (циферки и буковки нарисованные)
//кавычкы в топку
$name = ereg_replace("\"", " ", $name);
$email = ereg_replace("\"", " ", $email);
И зачем тут регуяррка?
А зачем вообще кавычки убирать?
Валидируй нормально тогда...
//"сипык"
$name = substr($name,0,30);
$email = substr($email,0,30);
$message = substr($message,0,350);
//заменяем кавычки на ёлочки в месаге
$pattern = '|"([^"]*)"|i';
$replacement = "«\\1»";
$message = preg_replace($pattern, $replacement, $message);
Код: php:
//ну и собственно "по стандарту"
$name=htmlspecialchars($name);
$email=htmlspecialchars($email);
nl2br($message);
А что $message = htmlspecialchars($message); не надо?
Offline
