Обучение/Помощь новичкам | Вопрос по защите xss sql
OZZY
Тема закрыта by
SNEG
SNEG
Что же я хотел спросить при помощи preg_match я правильно все отфильтрировал данные от xss и sql inj
Не нужно использовать типа $nick = htmlspecialchars(trim($_POST['nick'])); ???
________
посл. ред. 14.11.2017 в 16:28; всего 3 раз(а); by SNEG
Не нужно использовать типа $nick = htmlspecialchars(trim($_POST['nick'])); ???
<?
if(isset($_POST['submit']))
{
$nick = $_POST['nick'];
if(empty($nick)) $err = 'Пустое поле';
if(!empty($nick) && !preg_match('/^([A-z0-9-]*)+$/', $nick)) $err = 'Присутвуют запрещенные символы в нике';
if(!isset($err))
$db->query("INSERT INTO `users` SET `nick` = '". $nick ."'");
}
?>
________
посл. ред. 14.11.2017 в 16:28; всего 3 раз(а); by SNEG
SNEG , нужно
Евгений 
Евгений (14.11.2017 в 16:29)
SNEG , нужно
SNEG , нужно
А смысл ??
Если только разрешены символы A-z0-9
Дырко то осталась
MATERIALIZE shadrvlad (14.11.2017 в 16:30)
SNEG , зачем вообще при сохранении htmlspecialchars?? его нужно использовать при выводе пользователю. И давно уж пора начать юзать pdo
SNEG , зачем вообще при сохранении htmlspecialchars?? его нужно использовать при выводе пользователю. И давно уж пора начать юзать pdo
На фиг мне то пдо я не компания что работаю над цмс чтобы продавать и у меня будет убыток от продаж ибо я не такой код использую, я для себя делаю..!!
________
посл. ред. 14.11.2017 в 16:33; всего 1 раз(а); by SNEG
Sweet.Pro (14.11.2017 в 16:32)
Дырко то осталась
Дырко то осталась
Где если только разрешены символы A-z0-9 ??
if(!isset($err))
$db->query("INSERT INTO `users` SET `nick` = ?i", [$nick]);
}
С плэйсхолдером думаю инсерт правильнее, точно никакой иньекции не будет
TaHi4kA $db->query("INSERT INTO `users` SET `nick` = ?i", [$nick]);
}
С плэйсхолдером думаю инсерт правильнее, точно никакой иньекции не будет
SNEG (14.11.2017 в 16:33)
shadrvlad (14.11.2017 в 16:30)
SNEG , зачем вообще при сохранении htmlspecialchars?? его нужно использовать при выводе пользователю. И давно уж пора начать юзать pdo
На фиг мне то пдо я не компания что работаю над цмс чтобы продавать и у меня будет убыток от продаж ибо я не такой код использую, я для себя делаю..!!
shadrvlad (14.11.2017 в 16:30)
SNEG , зачем вообще при сохранении htmlspecialchars?? его нужно использовать при выводе пользователю. И давно уж пора начать юзать pdo
На фиг мне то пдо я не компания что работаю над цмс чтобы продавать и у меня будет убыток от продаж ибо я не такой код использую, я для себя делаю..!!
ну да, зачем себе писать без дыр, не компания же
shadrvlad , знаешь,если человек хочет писать так пусть пишет,он явно не нуждается в твоей рекомендации,я лично тоже не юзаю пдо и нетумер от этого...Без дыр и без пдо можно написать если голова шарит...
CITIZENfour