הוסטס - פורום אחסון האתרים הגדול בישראל

הוסטס - פורום אחסון האתרים הגדול בישראל (https://hosts.co.il/forums/index.php)
-   פורום תיכנות (https://hosts.co.il/forums/forumdisplay.php?f=14)
-   -   שאלה ב htmlspecialchars (https://hosts.co.il/forums/showthread.php?t=83355)

dabi 24-06-10 14:30
שאלה ב htmlspecialchars
 
אהלן
שאני מכניס קלט למסד אני משתמש ב htmlspecialchars על מנת למנוע XSS וכאלה
הבעיה שיש לי קלט של התו ' זה הופך לי לסלאש
מה אני יכול לעשות?
אם אני לא ישתמש ב htmlspecialchars או יעשה איזה פונקציה כשאני שולף מהמסד שתבטל את ה htmlspecialchars(איזה פונקציה מבטלת את זה) אז כאשר אני יציג את הפלט זה יכול להיות XSS
אשמח לעזרה
תודה

RS324 24-06-10 15:42
קודם כל תבדוק ב CONIG אם יש לך MAGIC_QOUTES
אם יש אז סביר להניח שהם אלא שמכניסים לך את ה \ לפני

ותשתמש בזה ככה : htmlspecialchars($var,ENT_QUOTES);

dabi 24-06-10 23:24
ציטוט:
נכתב במקור על ידי RS324 (פרסם 768506)
קודם כל תבדוק ב CONIG אם יש לך MAGIC_QOUTES
אם יש אז סביר להניח שהם אלא שמכניסים לך את ה \ לפני

ותשתמש בזה ככה : htmlspecialchars($var,ENT_QUOTES);
לא הבנתי, מה השינוי בפונקציה שאתה מציע שיעזור יותר ממה שאני עושה כרגע
ולגבי ה CONFIG אין לי דרך לבדוק
אגב
שמתי לב שהסלאשים האלה זה בגלל mysql_real_escape_string ולא בגלל
htmlspecialchars
אז אם זה ככה אני יכול לעשות את הפונקציה
strip_slash כדי לבטל אותם? או שאם אני יבטל אותם בהוצאה מהמסד זה עלול להציג לי XSS וכאלה

RS324 25-06-10 02:06
כדאי שתסתכל פה
http://il2.php.net/manual/en/functio...quotes-gpc.php

יענה לך בדיוק על כל השאלות


כל הזמנים הם GMT +2. הזמן כעת הוא 02:51.

מופעל באמצעות VBulletin גרסה 3.8.6
כל הזכויות שמורות ©
כל הזכויות שמורות לסולל יבוא ורשתות (1997) בע"מ