На тему безопасности работы с get и post запросами для дальнейшей передачи их в БД.
Для числового значения
$usrid = intval($_REQUEST["usrid"]);
или
$usrid=intval($_GET['usrid']);
для смешанного содержимого (ожидается что оно будет без тегов)
$label = strip_tags($_REQUEST["label"]);
$label = htmlspecialchars($label);
$label = mysql_escape_string($label);
$label = strip_tags($_GET['label']);
$label = htmlspecialchars($label);
$label = mysql_escape_string($label);
=============
Насколько хорошо?
#1
3 января 2017 в 01:52
#2
3 января 2017 в 10:18
Вырезание тегов я бы убрал вообще, а htmlspecialchars делал только при выводе.
Т.е. в базу всё пишем как есть (через escape, разумеется), а фильтруем уже при выводе.
Ведь ничего плохого в принципе нет, если я напишу тег <script> здесь, главное чтобы он не работал
Т.е. в базу всё пишем как есть (через escape, разумеется), а фильтруем уже при выводе.
Ведь ничего плохого в принципе нет, если я напишу тег <script> здесь, главное чтобы он не работал