kroekkete Skrevet 1. mars 2005 Del Skrevet 1. mars 2005 Hei, jeg har laget meg en side hvor folk kan kommentere det jeg skriver. I kommentaren er det også mulighet for å legge inn en url. Kommentaren lagres i en MySQL-tabell. I dag bruker jeg mysql_escape_string() og strip_tags() for å sikre meg mot ondsinnet html, men jeg har en følelse av at det ikke holder? Stemmer det? Hvis ja, hva annet må jeg gjøre? Mvh Primaxx OT: Hvis noen administratorer leser dette: Det er kun mulig å søke på ett ord om gangen i forumet, noe som er fryktelig frustrerende! Lenke til kommentar
The Red Devil Skrevet 1. mars 2005 Del Skrevet 1. mars 2005 bruk htmlentities() http://uk.php.net/htmlentities Lenke til kommentar
audunr Skrevet 1. mars 2005 Del Skrevet 1. mars 2005 Off-topic: Du kan søke etter flere ord samtidig, og bruke AND, OR og NOT for å angi hvordan du vil søke. Se følgende veiledning i søkeskjemaet: "Angi ett nøkkelord som du vil søke etter. AND og OR kan brukes for å søke med flere ord. NOT kan brukes for å luke ut ord." MVH Audun Lenke til kommentar
kroekkete Skrevet 1. mars 2005 Forfatter Del Skrevet 1. mars 2005 Off-topic: Du kan søke etter flere ord samtidig, og bruke AND, OR og NOT for å angi hvordan du vil søke. Se følgende veiledning i søkeskjemaet: "Angi ett nøkkelord som du vil søke etter. AND og OR kan brukes for å søke med flere ord. NOT kan brukes for å luke ut ord." MVH Audun Det var dette med besserwissere og bruksanvisninger da... Lenke til kommentar
kroekkete Skrevet 1. mars 2005 Forfatter Del Skrevet 1. mars 2005 Er det noen som har noen eksempler på hva som regnes som "ondsinnet" kode? Sagt med andre ord: Hva er det jeg egentlig skal stoppe? Mvh Primaxx Lenke til kommentar
audunr Skrevet 2. mars 2005 Del Skrevet 2. mars 2005 Er det noen som har noen eksempler på hva som regnes som "ondsinnet" kode? Sagt med andre ord: Hva er det jeg egentlig skal stoppe? Mvh Primaxx Du har URLen index.php?Article=200 Dette fører til at du sender SQL-spørringen: select * from articles where ID = $_GET["Article"] Dersom brukeren sender index.php?Article=200;drop database NAVN istedet, så ser du problemet. MVH Audun Lenke til kommentar
kroekkete Skrevet 2. mars 2005 Forfatter Del Skrevet 2. mars 2005 Du har URLen index.php?Article=200 Dette fører til at du sender SQL-spørringen: select * from articles where ID = $_GET["Article"] Dersom brukeren sender index.php?Article=200;drop database NAVN istedet, så ser du problemet. MVH Audun Akkurat den stoppes med mysql_escape_string() ikke sant? Lenke til kommentar
audunr Skrevet 2. mars 2005 Del Skrevet 2. mars 2005 Ja, forsåvidt. Det er noen gode eksempler her: http://www.php.net/manual/en/function.mysq...cape-string.php Jeg pleier først og fremst å sjekke typene til variablene ved alle select, inserts og updates. Altså at noe jeg forventer skal være et tall ikke er en streng, og så videre, og at påkrevde variabler ikke mangler. MVH Audun Lenke til kommentar
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå