PHP инъекция.(?)

Discussion in 'PHP' started by ZnikiR, 4 Apr 2010.

  1. ZnikiR

    ZnikiR Member

    Joined:
    14 Jan 2009
    Messages:
    117
    Likes Received:
    21
    Reputations:
    -5
    Ну меня собственно волнует вопрос.
    В общем при регистрации на сайте пользователь сначала вводит свои данные.Затем я вывожу страницу уже с набранными данные.

    Скажите безопасен ли такой код?
    Если нет то как улучшить его?

    PHP:
    <?php
    $name     $_POST["name"];
    echo     "Имя : $name ";
    ?>
     
    #1 ZnikiR, 4 Apr 2010
  2. |qbz|

    |qbz| Banned

    Joined:
    25 Dec 2009
    Messages:
    385
    Likes Received:
    169
    Reputations:
    65
    if (!is_array($_POST['name']))
    {

    $name = stripslashes(htmlspecialchars($_POST["name"]));

    }
     
    #2 |qbz|, 4 Apr 2010
  3. ZnikiR

    ZnikiR Member

    Joined:
    14 Jan 2009
    Messages:
    117
    Likes Received:
    21
    Reputations:
    -5
    А тримировать не надо?
    и для чего делеть stripslashes если я не делал addslashes?
     
    #3 ZnikiR, 4 Apr 2010
    Last edited: 4 Apr 2010
  4. nikoTM

    nikoTM Elder - Старейшина

    Joined:
    25 Sep 2007
    Messages:
    41
    Likes Received:
    6
    Reputations:
    0
    в тримах нету понта, т.к. зенд еще не поддерживает вайтспейс :) а стрипслес надо , т.к. бог знает что хакер напишет в своем запросе , там мб и слеши будут ;)
     
    #4 nikoTM, 4 Apr 2010
  5. Gifts

    Gifts Green member

    Joined:
    25 Apr 2008
    Messages:
    2,494
    Likes Received:
    807
    Reputations:
    614
    |qbz| stripslashes - возможно вы хотели наооборот addslashes? Или вы враг автору?

    ZnikiR Достаточно использовать htmlspecialchars. И называется это не PHP инъекция, а XSS
     
    _________________________
    #5 Gifts, 4 Apr 2010
(You must log in or sign up to post here.)
Language
English (US)
    ANTICHAT ™ © 2001-2027 Antichat Kft.