- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Тренды маркетинга в 2024 году: мобильные продажи, углубленная аналитика и ИИ
Экспертная оценка Адмитад
Оксана Мамчуева
В 2023 году Одноклассники пресекли более 9 млн подозрительных входов в учетные записи
И выявили более 7 млн подозрительных пользователей
Оксана Мамчуева
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
Пользователь заполняет форму и отправляет данные. Они пишутся в таблицу в БД Mysql, из которой потом формуируется страничка на сайте.
Переданные данные обрабатываю предварительно так:
Что еще нужно сделать, чтоб враги не внедрили какую гадость?
сайт на WP
---------- Добавлено 07.05.2014 в 12:58 ----------
судя по форуму, может нужно и с квадратными скобками бороться?
addslashes - заменить на *_escape_string
также не забывать что у тегов могут быть разные js события onmouseover и тд.
А можно поподробнее про *_escape_string - что вместо звездочки? нашел
mysql_real_escape_string - это?
mysql(i)?_real_escape_string, смотря какое расширение для доступа к бд у вас используется. А вообще если используете ВП, лучше юзать встроенные функции которые умеют правильно экранировать данные http://codex.wordpress.org/Data_Validation
Заменил addslashes на mysql_real_escape_string (mysqli_real_escape_string) Данные перестали передаваться из формы.
Добавил обработку переменной с помощью - esc_sql() - прикрыло вообще все тэги \n соответственно теряется все форматирование - не подходит... как быть?
в моем варианте ни один лишний тэг не пропускает но вот вопрос с командами sql как от них обезопасится?
в моем варианте ни один лишний тэг не пропускает
Вы забываете что у тегов есть еще атрибуты.
но вот вопрос с командами sql как от них обезопасится?
http://codex.wordpress.org/Data_Validation
и тд
Вы забываете что у тегов есть еще атрибуты.
В силу малоопытности не очень понимаю как это может пройти - обьясните на примерах ?
попытался добавить prepare - перестала работать запись. Где то нарушил синтаксис. в VALUES нужно %s или %d указывать через запятую количеством в строгом соответствии с $value?
делал так:
В силу малоопытности не очень понимаю как это может пройти - обьясните на примерах ?
<p onmouseover="alert(1);">текст</p>
попытался добавить prepare - перестала работать запись. Где то нарушил синтаксис. в VALUES нужно %s или %d указывать через запятую количеством в строгом соответствии с $value?
id null не обязательно указать если он null.
Примерно так. Попробуйте метод insert
Добавил еще регулярку которая просто убирает всякие drop и onmouse..
метод update, оказывается, автоматически экранирует кавычки.
Спасибо за подсказку с null - попробую. Я уже ночью во сне тоже пришел к выводу что нужно попробовать убрать.
Добавил еще регулярку которая просто убирает всякие drop и onmouse..
ой-ой-ой-ой.... руки прочь от компьютера!
для начала вам надо определиться, что пользователю можно отправлять и что вы хотите показывать.
что за форма?
ой-ой-ой-ой.... руки прочь от компьютера!
для начала вам надо определиться, что пользователю можно отправлять и что вы хотите показывать.
что за форма?
Я б вам дал доступ на сайт в тест, но боюсь - вдруг вы мне все уничтожите))))
В форме пользователь заполняет данные о своей фирме- должен быть минимальный обьем доступных тегов для форматирования документа, данные на русском языке, поэтому все эти дропы могу смело запрещать. Доступны абзацы, переносы, заголовки, списки и по мелочи. Для этого к текстареа подключил JS вставку тегов, остальные закрыл как писал выше. Сам метод update как выяснилось добавляет слэши к кавычкам, так что возникла проблема - не работает вставка стилей через спан. Но это некритично.
И вообще что-то мне уже кажется, что я заморачиваюсь больше чем надо. Но все советы с благодарностью приму, так же как и примеры готовы решений.