Svendsen Skrevet 29. oktober 2004 Del Skrevet 29. oktober 2004 Det er mulig jeg er lit lat her og burde søkt. Sitter å lager et kommentar system til ei side jeg driver på med Og der ønsker jeg ikke at en leser skal kunne bruke html i sin kommentar, skal legge til "bbkoder" etter hvert. Det jeg lurer på er om jeg har forstått strip_tags riktig. Tar den bort alle html tagger? Utenom de du måtte ønske å godta? Takk for forklaring eller forslag til andre metoder Ble og anbefalt å bruke mysql_strip_tags av ?????? engang tilbake, men jeg har prøvd flere ganger å lese meg til dens oppgave, uten at jeg helt har forstått hva den gjør mot hacking. Sikkert bare jeg som er dum og ikke helt klarer min engelsk idag og de ganger jeg har sjekka hehe tusen takk Lenke til kommentar
Simon Zimmermann Skrevet 30. oktober 2004 Del Skrevet 30. oktober 2004 Det jeg lurer på er om jeg har forstått strip_tags riktig. Tar den bort alle html tagger? Utenom de du måtte ønske å godta? Ja, du har nok forstått det rett: string strip_tags ( string str [, string allowable_tags]) Lenke til kommentar
xqus Skrevet 31. oktober 2004 Del Skrevet 31. oktober 2004 Ble og anbefalt å bruke mysql_strip_tags av ?????? engang tilbake, men jeg har prøvd flere ganger å lese meg til dens oppgave, uten at jeg helt har forstått hva den gjør mot hacking. Sikkert bare jeg som er dum og ikke helt klarer min engelsk idag og de ganger jeg har sjekka hehe mysql_strip_tags? Du mener nok mysql_escape_string. This function will escape the unescaped_string, so that it is safe to place it in a mysql_query(). Ganske enkelt Dersom man ikke gjør dette kan en bruker påvirke spørringen og for eksempel kjøre flere spørringer som strider mot applikasjonen sin hensikt, et såkalt "sql injection" angrep. Lenke til kommentar
Svendsen Skrevet 1. november 2004 Forfatter Del Skrevet 1. november 2004 xqus: Jepp jeg skreiv litt feil. Altså den tar bort eventuel mysql kode? Men gjør ikke noe med html koden? Er det andre like som kan være greie å kjenne til? Lenke til kommentar
petterg Skrevet 1. november 2004 Del Skrevet 1. november 2004 F.x: Du har et forum hvor det er mulig å søke etter innlegg skrevet av en bestemt bruker. En webbruker kan skrive inn brukernavnet på den parsonen han vil finne innlegg av. La oss si at det han skriver inn er tilgjengelig i variablen $navn. Scriptet ditt vil så kjøre et sql-query: SELECT dato, tekst FROM Innlegg WHERE bruker=$navn; Dersom brukeren skrev inn "petterg" som navn vil query se slik ut: SELECT dato, tekst FROM Innlegg WHERE bruker=petterg; Dersom brukeren oppgir navnet "petterg; DROP TABLE Innlegg" ser querry slik ut SELECT dato, tekst FROM Innlegg WHERE bruker=petterg; DROP TABLE Innlegg; Og vips er alle innlegg borte.... (Eksempelet er forenklet for å illustrere faremomentet dersom escapefunksjoner ikke blir brukt. Det er sikkerhetsfunksjoner som ville ha stoppet dette skriptet.) Lenke til kommentar
Svendsen Skrevet 1. november 2004 Forfatter Del Skrevet 1. november 2004 petterg: Tusen takk. Noen ganger må jeg ha det inne med pinnsett Eksempler er den beste forklaring Bra beskrevet Lenke til kommentar
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå