magic quate בורח. - הוסטס

AlmogBaku · 18-01-13, 07:41

צור קשר עם מנהל השרת שלך ותסביר לו שזו פוטנקצייה שיצאה מהחוק(=כבר לא מקובל להשתמש בה).
ושיסיר אותה.

איציק ברבי · 18-01-13, 13:47

ציטוט:

נכתב במקור על ידי AlmogBaku

צור קשר עם מנהל השרת שלך ותסביר לו שזו פוטנקצייה שיצאה מהחוק(=כבר לא מקובל להשתמש בה).
ושיסיר אותה.

יצאה מהחוק? יש דרך לנסח שהפונקציה כבר לא תקפה.

ואני רוצה להסביר, htmlspecialchars ו mysql_real_escape_string
לא כאלה רלוונטים עבורי,
מכוון וזה עורך טקסט, והוא שומר בפנים טקסט בHTML אז מין הסתם שיהיו תווים לא חוקיים.

אין פתרון אחר?

חשבתי על להכניס למסד בצורה כזו: htmlspecialchars
ולהדפיס עם htmlspecialchars_decode..

AlmogBaku · 18-01-13, 16:26

ציטוט:

נכתב במקור על ידי איציק ברבי

יצאה מהחוק? יש דרך לנסח שהפונקציה כבר לא תקפה.

ואני רוצה להסביר, htmlspecialchars ו mysql_real_escape_string
לא כאלה רלוונטים עבורי,
מכוון וזה עורך טקסט, והוא שומר בפנים טקסט בHTML אז מין הסתם שיהיו תווים לא חוקיים.

אין פתרון אחר?

חשבתי על להכניס למסד בצורה כזו: htmlspecialchars
ולהדפיס עם htmlspecialchars_decode..

כן נו.. הבנת את הכוונה שלי..

האמת שכבר במשך תקופה ארוכה אני לא כותב php native...
אבל לא הבנתי למה לא להכניס את הHTML למסד כHTML? איזה הגיון יש מאחורי זה?
בעיה פותרים מהשורש, ולא מהמסביב.

*אגב הפתרון המקובל במערכות שונות(symfony, wordpress, drupal) למאג'יק הוא בד"כ לסנטז מחדש כל פלט שנכנס ב-REQUEST.. ובמידה והמאג'יק מופעל לנטרל אותו..
פשוט תעשה חיפוש בקוד של וורדפרס למשל איך הם עושים את זה.. זה דיי פשוט

BuildDream · 18-01-13, 17:31

ציטוט:

נכתב במקור על ידי איציק ברבי

יצאה מהחוק? יש דרך לנסח שהפונקציה כבר לא תקפה.

ואני רוצה להסביר, htmlspecialchars ו mysql_real_escape_string
לא כאלה רלוונטים עבורי,
מכוון וזה עורך טקסט, והוא שומר בפנים טקסט בHTML אז מין הסתם שיהיו תווים לא חוקיים.

אין פתרון אחר?

חשבתי על להכניס למסד בצורה כזו: htmlspecialchars
ולהדפיס עם htmlspecialchars_decode..

אין שום קשר בין mysql_real_escape_string לבין htmlspecialchars - המטרה שלהן שונה לגמרי. אם אתה הולך להכניס את המידע לבסיס נתונים mysql - אתה עדיין צריך להשתמש בפונקציה mysql_real_escape_string כדי למנוע הזרקת קוד לשאילתה שלך.

Rebuilt · 19-01-13, 17:57

ציטוט:

נכתב במקור על ידי BuildDream

אין שום קשר בין mysql_real_escape_string לבין htmlspecialchars - המטרה שלהן שונה לגמרי. אם אתה הולך להכניס את המידע לבסיס נתונים mysql - אתה עדיין צריך להשתמש בפונקציה mysql_real_escape_string כדי למנוע הזרקת קוד לשאילתה שלך.

גם בשליפה (SELECT) צריך להשתמש בmysql_real_escape_string.

BuildDream · 19-01-13, 18:48

ציטוט:

נכתב במקור על ידי Rebuilt

גם בשליפה (SELECT) צריך להשתמש בmysql_real_escape_string.

זה מאוד תלוי בשאילתה שלך, אם אתה עושה שליפה שאין בה שום קלט אין לך סיבה להשתמש בmysql_real_escape_string.

וכמו שxPerfection אמר, אם אתה רוצה באמת לעבוד בטוח אז תעבוד עם מחלקה שעובדת בצורה בטוחה עם בסיסי נתונים, כמו PDO שעושה עבודה מצויינת.

כלים לאשכול
הצגת גרסת הדפסה שלח דף זה באימייל
תצורת הצגה
עבור לתצורה לניארית תצורה משולבת עבור לתצורת אשכולות


	ההרשמה לפורום נפתחה - אפשרות רישום לכל אימייל (דומיינים פרטיים, gmail, הוטמייל..)!

18-01-13, 07:41	# 1
AlmogBaku חבר וותיק מיני פרופיל תאריך הצטרפות: Nov 2007 מיקום: מודיעין הודעות: 1,022	צור קשר עם מנהל השרת שלך ותסביר לו שזו פוטנקצייה שיצאה מהחוק(=כבר לא מקובל להשתמש בה). ושיסיר אותה.

חברים פעילים הצופים באשכול זה: 1 (0 חברים ו- 1 אורחים)