Jump to content
php.lv forumi

Ka izmantot htmlspecialchars


Troxy

Recommended Posts

<?php
include("config.php");
$result = mysql_query("SELECT * FROM comments WHERE tb_serveri_id='$_GET[id]' ORDER BY id ASC");
while ($row = mysql_fetch_assoc($result)) { 
echo "<hr><B>Niks:</B> {$row['username']} <BR>";
echo "<B>Komentars:</B><BR><I>{$row['comment']}</I> </hr>";
?>

 

 

Ka pielietot manaa gadijumaa sho funkciju htmlspecialchars

 

Vi arii es kluudos un ne tur domaju pielietot :|

Edited by Troxy
Link to comment
Share on other sites

Nu labi. Bet kā piemēram šādā gadījumā rīkoties būtu labāk? Atļaut ierakstīt muiņas un tad tikai izsargāties, vai jau uzreiz piegirezt visu ?

Es laikam piegireztu uzreiz. Bet tas tā...

Link to comment
Share on other sites

hackerman, mysql_real_escape_string un htmlspecialchars ir pavisam atšķirīgas fjas! mysql_real_escape aizsargā no sql injekcijām (tā eskeipo ' un " simbolus), bet htmlspecialchars (eskeip >, < un visādus tādus simbolus) no xss.

Link to comment
Share on other sites

bet htmlspecialchars (eskeip >, < un visādus tādus simbolus.

htmlspecialchars Neko neeskeipo ... vienkarshi parversh simbolus kas ir speceviski HTMLam <>(utt. ) parversh par simbolu virkni ... ko brauzeris atpakal nogenere par <> ...

piem:

& --> & amp;

< --> & lit;

> --> & gt;

---

turpretii mysql_real_escape ... tik tieeshaam esceipo....

Link to comment
Share on other sites

andrisp, man šķiet, ka pirms šitā gan derētu eskeipot:

"$result = mysql_query("SELECT * FROM comments WHERE tb_serveri_id='$_GET[id]' ORDER BY id ASC");"

 

Un man šķiet, ka to arī viņš domāja, jo pričom eskeipot HTMLu.

Link to comment
Share on other sites

×
×
  • Create New...