 10.09.2011 / 09:31 | |
Koenig  Модератор форума
 Сейчас: Offline
Имя: Дмитрий
Откуда: Калининград(Koenigsberg)
Регистрация: 23.01.2011
| Лека, по поводу обработки данных, про ид думаю не нужно объяснять про $id = intval($_GET['id']);
а прочие с формы данные от иньекции можно обойти рекурсией входные данные, можно конечно применять запись данных по типам сразу через printf mysql_escape_string тоже не панацея, можно обойти, надо добавочно вырезать нежелательные символы или заменять на аналоги <IMG SRC=javascript:alert("XSS")>
этот код обходит mysql_real_escape_strings , но htmlspecialchars не пройдет, так как одно дело экранировать одиночные кавычки, другое заменять хтмл на аналоги , кавычки только двойные заменяет на аналог , то есть одиночную пропустит addslashes() добавит экранирование, тут надо самому выбирать по данным, где как проверять, что то универсатьное можно написать самому, или подсмотреть в движке
 Магистр Мёда |
| 10.09.2011 / 14:19 | |
Лека  Пользователь
Сейчас: Offline
Имя: Лена
Откуда: Скрытенбург
Регистрация: 08.08.2011
| а когда лучьше заменять спецсимволы? До или посли записи в бд?
тут просто два варианта.
|
| 10.09.2011 / 14:20 | |
Screamer Пользователь
Сейчас: Offline
Регистрация: 17.05.2011
| Лека, до
__________________
საქარტველოს გაუმარჯოს |
| 10.09.2011 / 14:40 | |
Лека Пользователь
Сейчас: Offline
Имя: Лена
Откуда: Скрытенбург
Регистрация: 08.08.2011
| Примерно так? if(isset($_POST['save'])) { if(!empty($_POST['name'])){ $name=htmlspecialchars($_POST['name']); mysql_query("UPDATE `users` SET `name` = '".mysql_real_escape_string$name."' WHERE `id` = '$userinfo[id]' LIMIT 1"); }
|
| 11.09.2011 / 01:21 | |
BaldaI Пользователь
Сейчас: Offline
Имя: Михаил
Регистрация: 07.07.2010
| Примерно так  |
| 11.09.2011 / 02:11 | |
Koenig Модератор форума
Сейчас: Offline
Имя: Дмитрий
Откуда: Калининград(Koenigsberg)
Регистрация: 23.01.2011
| Лека (10.09.2011/14:40)
Примерно так?if(isset($_POST['save'])) {if(!empty($_POST['name'])){$name=htmlspecialchars($_POST['name']);mysql_query("UPDATE `users` SET `name` = '".mysql_real_escape_string$name."' WHERE `id` = '$usif (isset($_POST['save'])){ if (!empty($_POST['name'])) { $name=htmlspecialchars($_POST['name']); mysql_query("UPDATE `users` SET `name` = '" . mysql_real_escape_strings($name) . "' WHERE `id` = '" . $userinfo['id'] . "' LIMIT 1"); }
Так. У тебя все старые ошибки. Привыкай к правильной конкатенации. __________________
Магистр Мёда
Изменено Koenig (11.09 / 02:14) (всего 2 раза) |
| 12.09.2011 / 00:16 | |
Лека Пользователь
Сейчас: Offline
Имя: Лена
Откуда: Скрытенбург
Регистрация: 08.08.2011
| Ребята,возникла проблема с экспортом,phpmy admin с оперы не мини ни мобил не рулит. Как это можно реализовать в пхп с сохранением дампа на сервере или выводом на экране? Только структуру.
|
| 12.09.2011 / 00:19 | |
Koenig Модератор форума
Сейчас: Offline
Имя: Дмитрий
Откуда: Калининград(Koenigsberg)
Регистрация: 23.01.2011
| Лека, как вариант делаешь дамп таблицы, первая часть текста, это стркуктура, далее уже идет содержимое
__________________
Магистр Мёда |
| 12.09.2011 / 00:36 | |
Лека Пользователь
Сейчас: Offline
Имя: Лена
Откуда: Скрытенбург
Регистрация: 08.08.2011
| Koenig, это я знаю,но я не могу сделать этот дамп. Вместо дампа сохраняется хтмл документ. <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd"> <html xmlns="http://www.w3.org/1999/xhtml" xml:lang="ru" lang="ru" dir="ltr"> <head> <meta http-equiv="Content-Type" content="text/html; charset=utf-8" /> <link rel="icon" href="./favicon.ico" type="image/x-icon" /> <link rel="shortcut icon" href="./favicon.ico" type="image/x-icon" /> <title>phpMyAdmin</title> <link rel="stylesheet" type="text/css" href="phpmyadmin.css.php?server=1&token=1a8d1ed16ea409b9eb90a90b2e500b58&js_frame=right&nocache=5244899674" /> <link rel="stylesheet" type="text/css" href="print.css" media="print" /> <link rel="stylesheet" type="text/css" href="./themes/pmahomme/jquery/jquery-ui-1.8.custom.css" /> <meta name="robots" content="noindex,nofollow" /> </head><body><p>export.php: Missing parameter: what<a href="Documentation.html#faqmissingparameters" target="documentation"><img class="icon" src="./themes/pmahomme/img/b_help.png" width="11" height="11" alt="Документация" title="Документация" /></a><br />export.php: Missing parameter: export_type<a href="Documentation.html#faqmissingparameters" target="documentation"><img class="icon" src="./themes/pmahomme/img/b_help.png" width="11" height="11" alt="Документация" title="Документация" /></a><br /></p></body></html>
|
| 12.09.2011 / 00:47 | |
Koenig Модератор форума
Сейчас: Offline
Имя: Дмитрий
Откуда: Калининград(Koenigsberg)
Регистрация: 23.01.2011
| Лека, чтоу тебя с телефоном не знаю, скрипт давал же http://seclub.org/forum/post.php?pid=13570298 , попробуй через оф оперу 4.2, я проверял, работает, или через стандартный арбуз
Магистр Мёда |
Скопировать ссылку
Перейти к посту
