Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Интернет » Web-программирование » DEL

Модерирует : Cheery

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10

Открыть новую тему     Написать ответ в эту тему

xntx



хнотик-багоискатель		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Vaulter

Цитата:
да что ты говоришь!...ну попробуй засунь строку <b>there's string</b> в БД......  

засунул, дальше что?

Цитата:
эт ты наверное не в курсе, что на многих серваках стоит в PHP.INI такая строчка  
magic_quotes=on  
при которой просто во все POST переменные добавляется слэш по умолчанию.  

а это тут при чем? я то в курсе... но причем тут это я не понимаю.

----------
Hello world!
Всего записей: 5169 | Зарегистр. 15-02-2003 | Отправлено: 00:09 31-10-2003
Vaulter

Newbie		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
наверное не знаешь что в БД(если это чтото типа My/MSSQL) хтмл можно сувать незаслешивая


Цитата:
засунул, дальше что?

опа! ну ка, запросец в студию попросим



Замечание за флейм. — Svarga.
Всего записей: 9 | Зарегистр. 29-10-2003 | Отправлено: 07:02 31-10-2003 | Исправлено: Svarga, 16:46 31-10-2003
IntenT



Advanced Member		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Vaulter
insert into test (str) values ("<b>there's string</b>");
Всего записей: 1584 | Зарегистр. 16-12-2001 | Отправлено: 10:39 31-10-2003
Vaulter

Newbie		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
IntenT
хе ) ну хорошо хорошо ))
а строку
<b><a href="smth link" title="linka">there's string</a></b>
 
Всего записей: 9 | Зарегистр. 29-10-2003 | Отправлено: 14:43 31-10-2003
vu1tur



Moderator-Saaber		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Vaulter

Код:
 
mysql> insert into t1 values ("<b><a href=\"smth link\" title=\"linka\">there's string</a></b>");
Query OK, 1 row affected (0.05 sec)
 
mysql> select * from t1;
+-------------------------------------------------------------+
| col1                                                        |
+-------------------------------------------------------------+
| <b><a href="smth link" title="linka">there's string</a></b> |
+-------------------------------------------------------------+
1 row in set (0.00 sec)
 


----------
I am free of all prejudice. I hate everyone equally.
Всего записей: 3690 | Зарегистр. 01-02-2003 | Отправлено: 14:56 31-10-2003
xntx



хнотик-багоискатель		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Vaulter
это называется "слыхал звон, но не знаю где"...
 
вернемся к тому что ты сказал:

Цитата:
addslashes(); извините, г*вно полное......для защиты...  
его используют только когда нужно чистый хтмл в БД загнать...  
а ВСЕГДА И ВЕЗДЕ юзают:  
 htmlspecialchars($str,ENT_QUOTES);

1. не "г*вно полное", и не "только"
2. а зачем его юзать интересно "всегда"? если ты например делаешь query в базу по этому полю - то он тебе и не нужен. другое дело есло этот код потом может попасть в вывод на странице... тогда можно сделать XSS


----------
Hello world!
Всего записей: 5169 | Зарегистр. 15-02-2003 | Отправлено: 15:05 31-10-2003
Terabyte



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
DEL
Всего записей: 1325 | Зарегистр. 09-09-2002 | Отправлено: 19:45 31-10-2003 | Исправлено: Terabyte, 21:18 31-08-2017
vu1tur



Moderator-Saaber		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Terabyte

Цитата:
 записал одинарную


Цитата:
первращается у меня почему то в одинарную


Цитата:
вывод из базы одинарной кавычки

хм... и везде одинарные ))
посмотри на мой пред. пост. Там выводится именно одинарная, никаких проблем нет.

----------
I am free of all prejudice. I hate everyone equally.
Всего записей: 3690 | Зарегистр. 01-02-2003 | Отправлено: 19:55 31-10-2003
Sergeant

Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Давеча эту тему в жж поднимали. Ссылка.

----------
Если вы спорите с идиотом,
Наверняка, он занимается тем же самым.
Всего записей: 1553 | Зарегистр. 06-08-2001 | Отправлено: 00:12 01-11-2003
Terabyte



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
DEL
Всего записей: 1325 | Зарегистр. 09-09-2002 | Отправлено: 00:18 01-11-2003 | Исправлено: Terabyte, 21:18 31-08-2017
xntx



хнотик-багоискатель		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Terabyte
дык что у тебя не пашет? ты це сам написал: засовываешь одниарные, получаешь одинарные.
оно что, силами телепатии должно в двойные превращатся?

----------
Hello world!
Всего записей: 5169 | Зарегистр. 15-02-2003 | Отправлено: 00:31 01-11-2003
Sergeant

Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Terabyte, там в смысле тема собственно безопасности программирования (т.е. тема этого топика), а не конкретно мытарств с кавычками. Так что приведены общие рекомендации.

----------
Если вы спорите с идиотом,
Наверняка, он занимается тем же самым.
Всего записей: 1553 | Зарегистр. 06-08-2001 | Отправлено: 03:39 01-11-2003
Terabyte



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
DEL
Всего записей: 1325 | Зарегистр. 09-09-2002 | Отправлено: 17:48 01-11-2003 | Исправлено: Terabyte, 21:19 31-08-2017
xntx



хнотик-багоискатель		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Terabyte
addslashes(); и я думаю хватит

----------
Hello world!
Всего записей: 5169 | Зарегистр. 15-02-2003 | Отправлено: 18:25 01-11-2003
Terabyte



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
DEL
Всего записей: 1325 | Зарегистр. 09-09-2002 | Отправлено: 18:34 01-11-2003 | Исправлено: Terabyte, 21:19 31-08-2017
xntx



хнотик-багоискатель		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Terabyte
$query = "SELECT text FROM $table WHERE name_file = '$go'";

----------
Hello world!
Всего записей: 5169 | Зарегистр. 15-02-2003 | Отправлено: 18:50 01-11-2003
Terabyte



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
DEL
Всего записей: 1325 | Зарегистр. 09-09-2002 | Отправлено: 19:25 01-11-2003 | Исправлено: Terabyte, 21:19 31-08-2017
xntx



хнотик-багоискатель		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Terabyte
ну так и оставь

----------
Hello world!
Всего записей: 5169 | Зарегистр. 15-02-2003 | Отправлено: 20:16 01-11-2003
Terabyte



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
DEL
Всего записей: 1325 | Зарегистр. 09-09-2002 | Отправлено: 20:48 01-11-2003 | Исправлено: Terabyte, 21:20 31-08-2017
xntx



хнотик-багоискатель		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Terabyte
ну ты как издеваешься... слэши она добавляет, делает тоже самое что и addslashes()
ты сначала с тем что у тебя есть разберись, и попробуй это хакнуть...

----------
Hello world!
Всего записей: 5169 | Зарегистр. 15-02-2003 | Отправлено: 21:20 01-11-2003
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10

Компьютерный форум Ru.Board » Интернет » Web-программирование » DEL


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2025

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru