/ Forside / Teknologi / Udvikling / PHP / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
PHP
#NavnPoint
rfh 3959
natmaden 3372
poul_from 3310
funbreak 2700
stone47 2230
Jin2k 1960
Angband 1743
Bjerner 1249
refi 1185
10  Interkril.. 1146
Indsætte i database!
Fra : Ghashûl


Dato : 25-04-01 09:33

Hej!

Jeg har lige lavet et forum og i "betatesten" fandt jeg ud af at hvis
man i sin tekst skrev noget a la "|<" så blev alt efter | ikke indsat i
databasen.

Det virker på mig som om det er et sikkerhedshul, er det noget jeg kan
gøre ved det?

Pt. ser min kode sådan ud:

$input = addslashes(strip_tags($input));
echo $input; //ved en test med kun at skrive "|<" kom her |
mysql_query("INSERT INTO bla bla bla

For at se om det var noget man umiddelbart kunne udnytte tastede jeg:
|echo /home/bruhn/sysinfo.php

Der blev det hele bare sat ind i databasen og vist som alm. tekst.

Regards Ghashûl
--
http://ghashul.dk/

"I demand the right to keep and arm bears"
"A computer without Windows, is like a fish without a bicycle"

 
 
Søren Boll Overgaard (25-04-2001)
Kommentar
Fra : Søren Boll Overgaard


Dato : 25-04-01 10:27

On Wed, 25 Apr 2001 10:32:47 +0200, Ghashûl wrote:


Hej

> $input = addslashes(strip_tags($input));

Det er såvidt jeg kan se din strip_tags() der tror at alting efter (og
inkluvsive "<" er et html-tag, og derfor forsøger den at fjerne det.

--
Søren O.

There are no stupid questions, only inquisitive idiots

Ghashûl (25-04-2001)
Kommentar
Fra : Ghashûl


Dato : 25-04-01 10:34

On 25 Apr 2001 09:27:15 GMT, boll@fw1.dk (Søren Boll Overgaard) wrote:

>> $input = addslashes(strip_tags($input));
>
>Det er såvidt jeg kan se din strip_tags() der tror at alting efter (og
>inkluvsive "<" er et html-tag, og derfor forsøger den at fjerne det.

doh, ja det virker jo logisk nok egentligt...

Er der nogen smart måde at gøre det på?

Jeg kan selvfølgelig bare bruge htmlentities men så kommer det til at
stå og se grimt ud.

Regards Ghashûl
--
http://ghashul.dk/

"I demand the right to keep and arm bears"
"A computer without Windows, is like a fish without a bicycle"

Søren Boll Overgaard (25-04-2001)
Kommentar
Fra : Søren Boll Overgaard


Dato : 25-04-01 10:49

On Wed, 25 Apr 2001 11:34:29 +0200, Ghashûl wrote:
>>Det er såvidt jeg kan se din strip_tags() der tror at alting efter (og
>>inkluvsive "<" er et html-tag, og derfor forsøger den at fjerne det.
>
> doh, ja det virker jo logisk nok egentligt...
>
> Er der nogen smart måde at gøre det på?

htmlspecialchars() ?

--
Søren O.

Bedøm din edbforhandler på http://edbforhandlere.dk/

Ghashûl (25-04-2001)
Kommentar
Fra : Ghashûl


Dato : 25-04-01 10:58

On 25 Apr 2001 09:48:38 GMT, boll@fw1.dk (Søren Boll Overgaard) wrote:

>> Er der nogen smart måde at gøre det på?
>
>htmlspecialchars() ?

Er den ikke bare et alias for htmlentities() ?
Det må vel være den jeg bliver nødt til at bruge...

Regards Ghashûl
--
http://ghashul.dk/

"I demand the right to keep and arm bears"
"A computer without Windows, is like a fish without a bicycle"

Søren Boll Overgaard (25-04-2001)
Kommentar
Fra : Søren Boll Overgaard


Dato : 25-04-01 11:32

On Wed, 25 Apr 2001 11:58:27 +0200, Ghashûl wrote:
> On 25 Apr 2001 09:48:38 GMT, boll@fw1.dk (Søren Boll Overgaard) wrote:
>
>>> Er der nogen smart måde at gøre det på?
>>
>>htmlspecialchars() ?
>
> Er den ikke bare et alias for htmlentities() ?

This function is identical to htmlspecialchars() in all ways, except that
all characters which have
HTML character entity equivalents are translated
into these entities. Like htmlspecialchars(), it
takes an optional second argument which
indicates what should be done with single and double
quotes. ENT_COMPAT (the default) will only
convert double-quotes and leave single-quotes alone.
ENT_QUOTES will convert both double and single
quotes, and ENT_NOQUOTES will leave both double
and single quotes unconverted.

--
Søren O.

If idiots could fly, IRC would be an airport

Søg
Reklame
Statistik
Spørgsmål : 177560
Tips : 31968
Nyheder : 719565
Indlæg : 6408945
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste