mysql_real_escape_string() i strip_tags()

pogledaj manual za opise tih funkcija

Znaci uvek kad radim kveri sa stringom prvo ga pustim kroz mysql_real_escape_string a ako ga insertujem u bazu onda uradim i strip_tags ili moze samo jedna od ove dve funkcije da se koristi? Ako je ovo poslednje koja je bolja?

iskljuci magic_quotes_gpc u php.ini, ili, ako nemas mogucnost da menjas php.ini onda pre koriscenja bilo cega iz $_GET, $_POST ili $_COOKIE nizova uradi sledece:


a da se izboris sa XSS-om koristi neku biblioteku kao sto je kses


znaci, recimo da hoces vrednost $_POST['comment'] da upises u bazu, treba da uradis sledece:

1. izvrsis onaj kod gore sto sam ti dao (tj to stavis samo na pocetak skripte)
2. $comment = mysql_real_escape_string(kses($_POST['comment'], array()))
3. mysql_query("INSERT INTO table_name SET comment = '$comment'");...

_{[Ovu poruku je menjao Aleksandar Ružičić dana 20.11.2008. u 15:15 GMT+1]}

Zašto filtrirati XSS pri upisu u bazu? To se radi pri prikazu, a pri upisu se radi puni escape (pre toga se uradi čišćenje ako je urađen delimičan escape). Još bolje, ako se koristi PDO i pripremljeni upiti nema potrebe za escapeom.

pa ja to radim cisto da bi renderovanje bilo malo brze (neznatno, ali opet se trudim da sto vise optimizujem aplikaciju...), a i sta ce mi nedozvoljeni tagovi u bazi kad se ionako nece prikazati (u primeru sto sam dao nedozvoljavam ni jedan tag, ali ja obicno dozvolim strong,em,a (samo sa href attributom i http protokolom),blockquote i mozda jos par...)

Mislim da će ti ovaj članak puno pomoći da shvatiš
osnovne korake za sigurnost u PHP-u.

http://phpsec.org/projects/guide/sr/index.html

Pozdrav.