roug13
Участник
- Сообщения
- 25
- Реакции
- 4
Пользователь roug13 разместил новый ресурс:
Новости с комментариями для скриптов Фруктовой Фермы - Модуль для FF Новости с комментариями бесплатно.
Новости с комментариями для скриптов Фруктовой Фермы - Модуль для FF Новости с комментариями бесплатно.
Узнать больше об этом ресурсе...Модуль для FF Новости с комментариями бесплатно. Данный модуль позволяет комментировать новости на сайте. Качаем, тестируем.
geronimo
Участник
- Сообщения
- 291
- Реакции
- 125
pligin
Участник
- Сообщения
- 3.654
- Реакции
- 1.336
там кода-то пару строк... даже не знаю что там можно замаскировать...geronimo написал(а):где скрин? как насчет дыр?
geronimo
Участник
- Сообщения
- 291
- Реакции
- 125
фильтрацию пропуститьpligin написал(а):там кода-то пару строк... даже не знаю что там можно замаскировать...
pligin
Участник
- Сообщения
- 3.654
- Реакции
- 1.336
))))geronimo написал(а):фильтрацию пропустить
а новости что ли пользователи добавляют?
Да, я видел много скриптов, в которых производят фильтрацию данных при выводе из базы... А еще даже видел вывод строки (не из переменной) с фильтрацией...
PHP:
exit(htmlspecialchars(trim($_POST['m_orderid'].'|error')));
Фильтровать нужно данные при обработке, а не при выводе...
geronimo
Участник
- Сообщения
- 291
- Реакции
- 125
pligin
Участник
- Сообщения
- 3.654
- Реакции
- 1.336
Забыл момент с комментариями...geronimo написал(а):ну так новости с комментариями,т.е комментировать новость могут пользователи и получается что есть код для ввода данных который нужно фильтровать
И на сколько мне известно в нескольких версия в данного модуля не было фильтрации или было но полная
В PHP есть функция фильтра filter_var, используй ее
geronimo
Участник
- Сообщения
- 291
- Реакции
- 125
так это достаточно или нетpligin написал(а):Забыл момент с комментариями...
В PHP есть функция фильтра filter_var, используй ее
Код:
$com = $db->RealEscape($_POST['comment']);//Фильтрация
pligin
Участник
- Сообщения
- 3.654
- Реакции
- 1.336
а в ман заглянуть?...geronimo написал(а):так это достаточно или нет
мне кажется что нетКод:$com = $db->RealEscape($_POST['comment']);//Фильтрация
достаточно. чтобы избавиться от html тегов можно еще использовать htmlspecialcharsmysqli::real_escape_string -- mysqli_real_escape_string — Экранирует специальные символы в строке для использования в SQL выражении, используя текущий набор символов соединения
А проще использовать очищающий фильтр php FILTER_SANITIZE_STRING
Фильтров в php достаточно для любых типов данных
pligin
Участник
- Сообщения
- 3.654
- Реакции
- 1.336