Tryb drzewa | Tryb normalny

Jupiter · 09-06-2009 04:04

Witam

Postanowiłem napisać tutorial jak w prosty sposób zabezpieczyć stronę. Poniższy kod wklejony w górze strony zabezpieczy ją przed atakami XSS, SQL Injection.

Kod:

foreach($_POST as $key => $value)

{

$_POST[$key] = htmlentities($value);

}

foreach($_GET as $key => $value)

{

$_GET[$key] = htmlentities($value);

}

A jeśli w jakiejś zmiennej POST, GET jest html i chcecie go wkleić w niezmienionej formie do bazy użyjcie funkcji
html_entity_decode($_POST/_GET[zmienna do odkodowania])

Mam nadzieje że komuś się to przyda Wink

Pozdrawiam

Morfeusz_2005 · 01-04-2011 22:09

Czy to zabezpieczenie dalej działa poprawnie i zapewnia ochronę we wszystkich np. formularzach przed SQL Injection? Czy może da się to jakoś obejść i skorzystać z innego sposobu?

Pedro84 · 02-04-2011 04:58

Morfeusz, żadne zabezpieczenie. Chłopak nie wie co pisze, albo nie zna działania funkcji htmlentities() jeśli twierdzi, że to zabezpieczenie przed wstrzyknięciem kodu. Poczytaj sobie z resztą to: http://stackoverflow.com/questions/20775...lentities. Pierwsza odpowiedź jest najlepsza.