andrisp

Sazinies ar officiālo supportu.

Kāpēc stripslashes ?

player, nemec taču pavisam par ko citu runāja.

A kā tu piešķirsi stilu visiem <input type="submit">, ja nevar viņus identificēt kaut kā ? input[type=submit] IE6 neatbalsta. Un domāju, ka ne tikai IE6. Un neviens jau tev neko tādu nestāsta. ;) Beigās jau runa gāja tikai par tā JS jēdzīgumu.

player, nemec jau domāja, ka viscaur saitā ir daudz inputi. Un iekš HTML ar search un replace nemaz tik viegli nav salikt fiksi un ātri visiem <input type="submit"> klāt klases (nomainīt veco klasi pret citu būtu vieglāk, bet pievienot klasi klāt elementam, kuram tā nav - diezgan grūti).

Email adrese vispār būtu jāvalidē, ka ' " un nav iespējami ;) Kādā ziņā traucētu ? Un atkal par tām pēdiņām - protams, ka lielākā daļa injekciju izmanto tās, bet tev neliekas loģiski, ka, piem., fjai mysql_real_escape_string() dokumentācijā ir rakstīts, ka tā eskeipo \x00, \n, \r, \, ', " un \x1a, un, ka tas nozīmē, ka īpašos apstākļos varbūt ir iespējams SQL injekcijas (vai arī vienkārši sačakarēt kveriju), izmantojot kādu no tiem pārējiem simboliem ?

Sapratu, ko tu gribēji man pateikt, bet nu šāds risinājums ir galīgi garām (un pavisam noteikti nav 100% drošs. Īpaši SQL injekcijas nepārzinu, bet esmu pārliecināts, ka pastāv injekciju veidi bez ' un "). Garām tāpēc, ka htmlspecialchars pirmkārt un galvenokārt nav paredzēta šādam nolūkam. Tam ir speciālas funkcijas, kas eskeipo netikai ' un ", bet arī citus jūtīgos simbolus. Kā arī - ja man vajadzēs šos datus neeskeipotus ? Katru reizi vajadzēs izmantot htmlspecialchars_decode() vai ko tamlīdzīgu ? Nerullē.

Nesapratu ?

hackerman, htmlspecialchars dara pavisam ko citu. Tā pasargā (lielākoties) no XSS (visādu sliktumu injecēšanu iekš HTML) nevis no SQL injekcijām. Tam ir mysql_real_escape_string vai citām DBVS kaut kas analogs.

hackerman, tad varbūt nedod cilvēkiem koda piemērus, kurus pats nesaproti ?

Kad tu šādi paskaidro, tad piekrītu tev. :) Bet nu šajā gadijumā domāju, ka cilvēks pats rakstīja HTML kodu konkrēti priekš vienas (nu varbūt dažām) lapām, tā kā lieliski var iztikt ar klasēm.

nemec, un kur problēma ? Ja tie šabloni ir daudz maz vienādi (cik saprotu pēc tevis teiktā), tad taču Tu katru to šablonu neraksti ar roku ? Ja raksti, tad sistēma ir nepareiza jau pašos pamatos (Un pēc tam stailot to, izmantojot Javascript, jau nu ir pavisam stulbi). Ja tev sistēma ir tiešām dinamiska, tad nomainīt kaut kādiem div'iem klases nosaukumu nevajadzētu būt nekāda problēmai.

tmpjail, tas, ka mysql_fetch_array by default atgriež gan "ciparisku", gan asociatīvu masīvu, diez vai varētu būt pie vainas.

player, nedomāju gan, ka tas ir labākais varaints. Lieks markups. Kāpēc tās klases neliec uzreiz pie <p> taga ?

Grey_Wolf, parādi kādu piemēru, kur div div {} nestrādātu vai gļukotu.

rob, nesapratu - kāds tam flush() sakars ar topiku ?

Ko nozīmē "heriherijas" ? :)

Grey_Wolf, ar type="submit" taču arī var.

Īsti nezinu, bet man šķiet, ka TinyMCE defaultā tā nedara.

Tā kā tu gribi, nav iespējams. Tam ir domātas klases.

Kaut kur nevajadzīgā vietā ir htmlspecialchars fja vai kas tamlīdzīgs.

Man jau liekas, ka XSS būtu mazākais. Nemaz nezinu, kas ir bitbucket. Bet nu taisnība jau ir - speciāli rakstīts kods, kas lai arī potenciāli būs līkāks nekā open source projekti, tomēr būs drošāks, jo cilvēki neredzēs, kas notiek apakšā.

Tāpēc, ka tie pārējie faili visticamāk ir lielāki par 100000 baitiem jeb 100Kb ?

Iipashi neiedziljinaajos, bet izskataas, ka tur jau tiek daliits pa dienaam.

Tev ?