Divi galvenie noteikumi:
1. Visi dati, kas ir INT vai FLOAT, piespiedu kārtā tiek type castoti uz šiem tipiem (...WHERE id = ". (int) $id)
2. Visi pārējie dati tiek apstrādāti ar mysql_real_escape_string()
Vēl ideālāk, ja vari izmantot prepared statements. (Ja izmanto mysqli moduli, tad var)
Kā tu datubāzē viņus glabā ?
Ja kā vērtības atdalītas ar komatiem, tad:
$str = implode(',', $_POST['test']);
Ja atsevišķā "palīgtabulā":
foreach($_POST['test'] as $v) {
// sql kverijs, kas ievieto tabulā katru $v
}
Vispār jau te ir programmeru forums nevis dizaineru, tā kā visdrīzāk kritiku saņemši tieši par HTML. ;)
Wordpress neko nepadara smirdīgu. Smirdīgu padara tas, kurš templeitus rakstīja.
PS. Bet vispār - izskatās labi. ;) Žēl, ka šādas lapas nebija pirms pieciem gadiem, kad man tas būtu bijis aktuāls. :)
Es lietoju pure php template system. :)
http://www.massassi.com/php/articles/template_engines/
Īsti neredzu jēgu no tām template sistēmām, kas definē pašas savu sintaksi. Mīnusus gan redzu - nav tik fleksibli, kā arī ātrdarbība cieš.
CMS - ir tieši tas, kā tu teici: Satura vadības sistēma. Tā var būt ļoti advancēta, gan arī ļoti vienkārša. Nav svarīgi.
briedis, tu nesaprati, ko Aleksejs saka. Izlasi vēlreiz.
No CSRF un XSS (cerams, ka nesajaucu terminus) pasargāt var gan, ja eskeipo datus.
No phishinga, protams, nevar.
andrisp --> ja izmantosi htmlspecialchars() un apstradaato vertiibu padosi atpakalj tad var gadiities situacija ka atpakal tiks izvadiits nevis 1 simbols
bet 3 teiksim parolee tiek izmantots <> 2 simbolu vietaa dabuusi 6 .....
Tā nevar gadīties. Pārlūks aizkodētos < un > tāpat serverim nosūtīs kā < un >. Vai arī parādi strādājošu piemēru, kas pierāda tavu teikto.
date(formaats, strtotime('2008-07-09 14:03:16'));
Formaati:
http://lv2.php.net/manual/en/datetime.constants.php
Vai arii pats noformee:
http://lv2.php.net/manual/en/function.date.php