обработка сообщений

user356 · 13.10.2005, 20:27

Достаточно ли при обработке сообщений следующих функций, чтобы сделать их безопасными для форума (или гостевой книги)?

PHP код:


			
htmlspecialchars();

addslashes();

Ну и еще в некоторых случаях substr

Crazy · [+1 23.05.11]

Ты задел бессмысленный вопрос. "Достаточно ли противогаза для безопасной жизни в городе?" Если использовать его для перебегания дороги на красный свет -- недостаточно.

user356 · 13.10.2005, 21:02

Ну, хорошо, я подозревал, что недостаточно, но чего тогда недостает?
Хотя бы ссылочку дай.

Crazy · [+1 23.05.11]

Безопасность подразумевает обстоятельства. ЧТО ты собираешься делать с данными? Вот это и диктует то, КАКУЮ нужно использовать защиту.

user356 · 13.10.2005, 21:13

Ладно, будет ли сообщение безопасным для б/д и вывода на страницу, если его обработать вышеуказанными функциями

Crazy · [+1 23.05.11]

Цитата:

Сообщение от user356

Ладно, будет ли сообщение безопасным для б/д и вывода на страницу, если его обработать вышеуказанными функциями

Для вывода в HTML достаточно htmlspecialchars и urlencode (предполагается, что оба используются по назначению). Никакие substr и addslashes здесь для безопасности не нужны.

user356 · 13.10.2005, 21:18

спасибо за ответ

Crazy · [+1 23.05.11]

Не забываем, кстати, про wordwrap (или лучше -- вручную написанный аналог). Но это уже к безопасности не относится.

juggy · 13.10.2005, 21:53

addslashes — нужны для добавления в базу, но только в виде

PHP код:


			
function _addslashes($var){

if (!get_magic_quotes_gpc()) {

return addslashes($var);

} else {

return $var;

}

nagash · 14.10.2005, 12:56

addslashes вообще не нужны, у каждой базы данных есть своя функция, которая ПРАВИЛЬНО экранирует запретные символы, применительно именно для этой базы данных
mysql_escape_string
pg_escape_string
и т.п. по аналогии