Фильтрация принимаемых GET POST

 
Посетитель
small user social cms
МедальАвторитет форумаКубок зрительских симпатий
Сообщений: 2592
На тему безопасности работы с get и post запросами для дальнейшей передачи их в БД.

Для числового значения

$usrid = intval($_REQUEST["usrid"]);
или
$usrid=intval($_GET['usrid']);

для смешанного содержимого (ожидается что оно будет без тегов)

$label = strip_tags($_REQUEST["label"]);
$label = htmlspecialchars($label);
$label = mysql_escape_string($label);

$label = strip_tags($_GET['label']);
$label = htmlspecialchars($label);
$label = mysql_escape_string($label);

=============


Насколько хорошо?
InstantCMS Team
small user social cms
МедальКубок зрительских симпатийАвторитет форума
Сообщений: 1340
Вырезание тегов я бы убрал вообще, а htmlspecialchars делал только при выводе.
Т.е. в базу всё пишем как есть (через escape, разумеется), а фильтруем уже при выводе.
Ведь ничего плохого в принципе нет, если я напишу тег <script> здесь, главное чтобы он не работал
В начало страницы
Предыдущая темаСледующая тема Перейти на форум:
Быстрый ответ
Чтобы писать на форуме, зарегистрируйтесь или авторизуйтесь.