Ievades datu pārbaude (PHP)

[Aldis]

Man līdzīga aizsardzība =] Bet ne tik “dīvaina”. 😀

Piemēram šjo | repleisoju ar [img]https://www.bildites.lv/images/cophf695eve8f6lnwlza.jpg[/img]

Un ar to pārnešanu vienā rindā ir arī advancētāka lieta man. Jo katram browserim un OS-am var būt savādāk.

$replace_chupa = array(“rn”, “n”, “r”);

$teksts = str_replace($replace_chupa, ‘
‘, $teksts);

jaa.. un man 80% mainiigie ir latviski ko paC esmu kodeejis! 😀 😀 Man saprotamaa valodaa.. 😀

[daGrevis]

Aldis, es varbūt kļūdos, bet kam tādā gadījumā ir domāta funkcija nl2br()…? 🙂

[rATRIJS]

Garsh teksts ir jaaliek paragraafos

nevis visu laiku jaasplito ar
. btw
nevis
(ja vien neesam oldskuul un dazhkaart gribam parseeties)

un tas dev un production kods. Prieksh klienta puses jaa, bet ne jau serera pusee…

EDIT:

izraadaas forums nonjem sleshus. Kaadeelj te nekas normaali nestraadaa? 🙁

[Mad182]

rATRIJS wrote:

Kaadeelj te nekas normaali nestraadaa? 🙁

Acīmredzot foksim ir tik pat kruta “aizsardzība”, kā TavaiMātei 😀

[usver]

kāpēc vispār jāpārbauda ievades dati, paskaidrojiet, lūdzu?

kāds programmētājs veic eval() tam tekstam, ko lietotājs ievada? kāds programmētājs izvadīs to tekstu bez htmlspecialchars(), vai? O_O

kāds tiešām ļaus jūzerim prasīt ?getfile.php?file=../../../../etc/passwd ? It`s so 90-ties .. jū nou 😀

Nu nē – ja ir faili, tad jūzerim dot pieeju tikai caur getfile.php?file=INTEGER. Un viss – ja kāds nesaprot ideju, tad palasiet par DB normālformām, par ko wannabe php koderi laikam pat nenojauš.

Normālā vidē intval(), trim(), mysql_real_escape_string(), stripslashes() un htmlspecialchars() ir pietiekami, atkarībā no situācijas.

Vienkārši – teksts ir teksts, un ja kāds postē sviestu, tad priekš tā ir spamfiltrs un admins, kas visādus “QPE5Di Qmnsq pmnx pwibxed ejlmz ywcfrg dtcunwo khtnfmr.” tipa tekstus vienkārši izdzēš.

Starp citu, es nekādi nesaprotu tos cilvēkus, kas HTML glabā datubāzē. Izņemot, ja tas ir speciāli saformatēts HTML teksts, ko saģenerējis foruma admins iekš fckeditora vai līdzīga rīka. tāpēc $str = str_replace(‘rn’, ‘
‘, $str); nav jābūt pie ievades. Tam ir jābūt pie izvades – ja bez bbkodiem un tas nav admina gatavots richtext formatējums, tad echo nl2br(htmlspecialchars($txt));

Principā neliekas normāla doma kaut ko jūzeriem ļaut vadīt iekšā uz savu galvu un pēc tam drūmi pārbaudīt un validēt – nafig. Neļaut neko, tikai tekstu, to ar bbcode noformējot.

[Crow]

Mad182 wrote:

Man domāt, ka laikā, ko Tu pavadi dzešot komentārus un atstarpes, tiek patērēts vairāk resursu, nekā tas jebkad prasītu no servera to kodu izpildot. To laiku labāk lietderīgi izmantot, izdomājot kā kādu sarežģītaku kveriju iekešot vai no tāda izvairīties, nevis dzenāt bitus. Bet ko nu es saprotu…

Tāpēc jau PRODUCTION versija saucās tā, ka to uzmeiko tikai pāris reizes visā lifecycle; kad viss pārējais ir izdarīts. Kas attiecas uz minēto kveriju optimizēšanu, tev pilnīga taisnība. Taču ja reiz runa iesākās par iekavām un tiri piri, tad es iespēru savus divus eiro centus…

[Foxsk8]

rATRIJS: Man tur salikti html replace, nodefinēju, kurus tagus atļaut lietot, un kurus nē.

Quote:

<><>

Š ādi jau viss šancē 🙂

[root]

usver, tu gadījumā nepiedalījies VID EDS būvniecībā? 🙂

[Mad182]

Ko tad Tavuprāt usver tādu nepareizu pateica?

Ievadīto datu validācija nenozīmē vispirms sačakarēt visu inputu…

[usver]

TavaMaate: ja Tu uztvēri manu komentāru kā uzbraucienu, tad Tu vienkārši to neesi sapratis.

Piedod, lūdzu, par komentāriem un dziļāku problēmas analīzi – turpini vien izglītot jauno koderu paaudzi. Pēdējo 5 gadu laikā, kopš veidoju nopietnas vebiskas un ne-vebiskas aplikācijas, esmu gana atskatījies wannabe php koderu brīnumus, kur uzpeld iepriekšminētās principiālās pieejas problēmas. Kuras nevajag labot ar vorkaraundiem – IMO cilvēkiem vajag pašiem pārslimot savas “bērnu slimības” (index.php fails kā visa aplikācija, utf8_decode un latin1_swedish_ci miksēšana, spageti kods un megaūberiecienītie globālo mainīgo lietošana kodā vietās, kur to toč nekad nevajag, failu pieeja ar minēto “getfile.php?file=glāžšķūņu.doc”, normālformu ignorēšana, intval() funkcijas nezināšana, DATETIME lietošana taimstampu vietā, brutāla jūzera norādīto failu inklūdošana, utt utjpr), nevis radīt ilūziju “izpildīšu 1 funkciju, un likšu lapā banneri ‘100% kruc'”. Cheers 😉

P.S – ja vēlies all-in-one risinājumu, tad iesaki cilvēkiem gan iekš $_GET, gan iekš $_POST repleisot “–” un “drop table” un “drop database” un “load data infile” ar tukšumiem. lai funkcija domātu kodera vietā.

[daGrevis]

https://net.tutsplus.com/tutorials/php/getting-clean-with-php/

[Crow]

daGrevis wrote:

https://net.tutsplus.com/tutorials/php/getting-clean-with-php/

Grāvi, krekeri tev un kvakss no manis! Atgādināji man, ka sākot no 5.2 eksistē tak šitas brīnums! [img]https://www.bildites.lv/images/4qaczdbdq4wwj7g02.gif[/img]

[Autors]

Ieraksti