anonīms Posted September 19, 2008 Report Share Posted September 19, 2008 Komentiem ir caurums, ka komentārs textarea ierakstija <script>alert('aaa');</script> tā, izlec logs. Kā varētu aizsargāt, lai nekas tāds netiek cauri līdz db? Pašlaik aizsardzībai izmantoju function quote_smart($value) { if (get_magic_quotes_gpc()) { $value = stripslashes($value); } if (!is_numeric($value)) { $value = "'" . mysql_real_escape_string($value) . "'"; } return $value; } Ko vēl varētu papildināt? Link to comment Share on other sites More sharing options...
Pentiums Posted September 19, 2008 Report Share Posted September 19, 2008 htmlspecialchars() Link to comment Share on other sites More sharing options...
indoom Posted September 19, 2008 Report Share Posted September 19, 2008 (edited) datubāzei jau tas script neko neizdarīs. Bet tad, kad šo rādi lapā tos komentārus, tad ieliec tekstus htmlspecialchars() Edited September 19, 2008 by indoom Link to comment Share on other sites More sharing options...
Maris-S Posted September 22, 2008 Report Share Posted September 22, 2008 Šajā gadījumā datubāzei neko neizdarīs, bet pie atbilstošiem nosacījumiem ar javascript injekcijām var šo to nelabu sadarīt. Iespējams Tevi ieinteresēs funkcija strip_tags Link to comment Share on other sites More sharing options...
Recommended Posts