Безопасность асинхронных запросов РНР

[name_A_D]

Фанат,
Надеюсь это не было в укор недостаче моих знаний. А если так, то хотелось бы узнать что еще я упустил в данном примере проверки.

 

[Single]

$q = trim($_GET['q']);
$q = htmlspecialchars ($q);
$q = addslashes($q);

расскажи что и зачем делают эти функции?

еще кстати есть такие функции как [m]isset[/m] и [m]empty[/m]

 

[name_A_D]

Single,
trim - обрезание пробелов
htmlspecialchars - Замена HTML символов на эквиваленты
addslashes - экранизирует слэши ковычки и т.д

 

[fixxxer]

ты забыл ответить на вопрос "зачем"

 

[Single]

Single,
trim - обрезание пробелов
htmlspecialchars - Замена HTML символов на эквиваленты
addslashes - экранизирует слэши ковычки и т.д

с какой целью использованы эти функции?

 

[name_A_D]

Single,
Можно и так вринцепи, только разница?

if(isset($_GET['q'])) {
$q = trim($_GET['q']);
$q = htmlspecialchars ($q);
$q = addslashes($q);
}

 

[Single]

с какой целью использованы эти функции?

 

[Single]

addslashes - экранизирует слэши ковычки и т.д

вот это вброс. =)

 

[name_A_D]

Смысл от этих функций? Поехали...
1) Если пользователь в строку введет Просто 2 пробела, то поле уже не будет считаться пустым, и мой скрипт, без функции trim послал бы запрос в базу(зачем посылать пустой запрос в базу?)
2) Если пользователь начнет вводить слеши или ковычки в строку у меня опять же без функции addslashes вылезет ошибка, и вообще я тогда ходячая жертва для sql инъекций
3) Если пользователь начнет вводить <B>слово</b> То в базу может вставиться именно этот код и тогда при выводе это самое "Слово" будет Жирным, а мне это не надо.

UPD addslashes -добавляет слеши перед ковычками! Вот!

 

[fixxxer]

по той же логике надо заменить все переносы строк на \par
а вдруг мне надо .rtf генерировать

 

[name_A_D]

fixxxer,
В данном примере переносы строк делать не надо. У меня <input type="text" ,а не текстареа. И что не так в моей логике то?

 

[Single]

http://php.net/isset
http://php.net/empty
http://phpfaq.ru/mysql

внеси изменения в свой код используя знания полученные после прочтения ссылок выше.

 

[Вурдалак]

Мне почему-то кажется смешной аватарка этого тигра, который говорит такие вещи:

экранизирует <...> ковычки
<...>
слеши перед ковычками! Вот!

 

[name_A_D]

мда, один раз обратишся в подобные форумы, и начинается... Это не так, не лезь в программирование, что ты вообще здесь забыл и т.д.
Люди сюда за советам идут, а вы занимаетесь стращанием.
Если вы в 5 лет подойдете к маме или папе и спросите, что такое солнце? И вам ответят: "Зачем ты живешь, и смысл ты дышишь, если не знаешь основных терминов вселенной?"
Стыдно господа... стыдно... так не делается!

 

[hell0w0rd]

name_A_D
Игнорить троллинг - одно из требований к программисту в наше время)
Просто спросите - как надо, и вам ответят, в базе должны храниться сырые данные, а при выводе - обработка.

 

[fixxxer]

name_A_D
так ты же сам не хочешь читать ссылки, которые тебе дают, и думать головой.

или ты еще не вырос из возраста, когда тебя надо похвалить и сказать какой ты молодец?