עזרה - שימוש בפונצקיה htmlspecialchars - הוסטס

Ron | CSite.co.il · 26-01-09, 21:03

בטח שיש קלט,
אתה קולט את המשתנה מהכתובת,
תנסה דבר כזה:

תכין דף שקולט id מהכתובת, משהו כזה: example.co.il/index.php?id=5
ואז תשים במקום ה 5 גרש, כלומר:
example.co.il/index.php?id='

במידה ולא תשתמש פה בפונקציית אבטחה תוצג לך שגיאת sql, כך בעצם ניתן להזריק לך sql ולהתעסק עם המסד שלך.

dor77 · 27-01-09, 21:04

כן, sql injection.
רגע, בוא נתעסק שנייה ב XSS.
מה אני עושה עם המשתנה?
קלטתי אותו מטופס (POST), יש י את השורה הזאת:

PHP קוד:


			
$var=$_POST['name'];

את זה אני אמור "לעטוף"?

תודה רבה.

Ron | CSite.co.il · 27-01-09, 21:10

כן, ככה:

PHP קוד:


			
$var = htmlspecialchars($_POST['name']) ;

26-01-09, 21:03	# 1
Ron \| CSite.co.il חבר על מיני פרופיל תאריך הצטרפות: Jun 2007 גיל: 33 הודעות: 980	בטח שיש קלט, אתה קולט את המשתנה מהכתובת, תנסה דבר כזה: תכין דף שקולט id מהכתובת, משהו כזה: example.co.il/index.php?id=5 ואז תשים במקום ה 5 גרש, כלומר: example.co.il/index.php?id=' במידה ולא תשתמש פה בפונקציית אבטחה תוצג לך שגיאת sql, כך בעצם ניתן להזריק לך sql ולהתעסק עם המסד שלך. __________________ קארדניה - משחק דפדפן ישראלי חדשני

27-01-09, 21:04	# 2
dor77 חבר וותיק מיני פרופיל תאריך הצטרפות: Jan 2008 הודעות: 1,650	כן, sql injection. רגע, בוא נתעסק שנייה ב XSS. מה אני עושה עם המשתנה? קלטתי אותו מטופס (POST), יש י את השורה הזאת: PHP קוד: `$var=$_POST['name'];` את זה אני אמור "לעטוף"? תודה רבה. __________________ מתכנת php אמין ומקצועי. מחירים נוחים! יצירת קשר: 0544378743

27-01-09, 21:10	# 3
Ron \| CSite.co.il חבר על מיני פרופיל תאריך הצטרפות: Jun 2007 גיל: 33 הודעות: 980	כן, ככה: PHP קוד: `$var = htmlspecialchars($_POST['name']) ;` __________________ קארדניה - משחק דפדפן ישראלי חדשני


	ההרשמה לפורום נפתחה - אפשרות רישום לכל אימייל (דומיינים פרטיים, gmail, הוטמייל..)!

חברים פעילים הצופים באשכול זה: 1 (0 חברים ו- 1 אורחים)