login  Naam:   Wachtwoord: 
Registreer je!
 Forum

forulierinhoud onschadelijk maken

Offline KenVS - 22/09/2007 11:50
Avatar van KenVSNieuw lid ik heb voor het eerst een eenvoudig script geschreven om de inhoud van een mysqltabel aan te passen.
Nu wil ik de string die ik in lees, wat beveiligen tegen misbruik.

Hoe pakken jullie zoiets dergelijks aan:
-1 van de mogelijkheden lijkt me om de < en > tekens van de string die we inlezen niet te interpreteren, maar meteen printen
-zijn er goede bestaande functies? iemand eigen geschreven functie?

Alvast bedankt

4 antwoorden

Gesponsorde links
Offline Stijn - 22/09/2007 12:50
Avatar van Stijn PHP expert Je kan gebruik maken van:

- PHP.net: htmlentities , dat is je eerste streepje.
- PHP.net: mysql_real_escape_string , dit zal alle " vervangen door \".

Mijn advies: gebruik het eerste 
Offline KenVS - 22/09/2007 22:51
Avatar van KenVS Nieuw lid wat vinden jullie van het toepassen van achtereenvolgens onderstaande functies op de naar de de database te schrijven string?

htmlspecialchars
strip_tags
addslashes

of beter?
htmlentities
strip_tags
addslashes

vrij veilig tegen misbruik?
waarin zit het verschil?
Offline Grayen - 23/09/2007 09:17
Avatar van Grayen PHP ver gevorderde Ik zou dat eerder dit doen:

strip_tags
htmlentities
mysql_real_escape_string

dus
php code - Bekijk de code zonder highlighting - Klap code in 
  1. mysql_query("INSERT INTO test (field) VALUES ('".mysql_real_escape_string(htmlentities(strip_tags($_POST['field'])))."')");
Offline kilian - 23/09/2007 09:45
Avatar van kilian Lid Ik gebruik hetgeen wat *HIER* beschreven staat (2de codeblok). Het zal eerst controleren of je automatische addslashes aanstaan, en indien nodig er toevoegen. Zo maak je alles onschadlijk (bij mij weten).
Gesponsorde links
Dit onderwerp is gesloten.
Actieve forumberichten
© 2002-2024 Sitemasters.be - Regels - Laadtijd: 0.171s