problem s mysql INSERT a &

28. 11. 2008 14:11:00

jj kdyz ukladam do omezeneho varcharu tak taky nikdy neukladam uz projete htmlentities, to delam jedine treba v pripade komentaru nebo pod. kde uz varchar nestaci a je tam neomezeny typ TEXT...

28. 11. 2008 14:11:00

https://webtrh.cz/diskuse/problem-s-mysql-insert-a-amp/strana/2#reply164693

ondrej.baar

(2 hodnocení)

28. 11. 2008 15:28:20

Neni az tak neomezeny, ale dejme tomu... .)

28. 11. 2008 15:28:20

https://webtrh.cz/diskuse/problem-s-mysql-insert-a-amp/strana/2#reply164692

pavolzetor

4. 1. 2009 15:13:28

hmm, asi mate pravdu ale zase si musite vsetky vystupy ustrazit, ja davam htmlspecialchars zo zvyku pred vstupom, jeden chalan co sa vyzna v IT bezpecnosti povedal ze je to tak lepsie (mensia pravdepodobnost vyskytu chyby), radsej dat vecsie pole na ulozenie

4. 1. 2009 15:13:28

https://webtrh.cz/diskuse/problem-s-mysql-insert-a-amp/strana/2#reply164691

(20 hodnocení)

4. 1. 2009 15:28:21

Napsal pavolzetor;180991
hmm, asi mate pravdu ale zase si musite vsetky vystupy ustrazit, ja davam htmlspecialchars zo zvyku pred vstupom, jeden chalan co sa vyzna v IT bezpecnosti povedal ze je to tak lepsie (mensia pravdepodobnost vyskytu chyby), radsej dat vecsie pole na ulozenie

radeji nedelat chyby ;) to ze kazdy vystup co delas MUSÍŠ osetrit je absolutni samozrejmost a jestlize to nekdo nedela a dela chyby tak ho nelze povazovat za ic nez spatneho programatora :)

4. 1. 2009 15:28:21

https://webtrh.cz/diskuse/problem-s-mysql-insert-a-amp/strana/2#reply164690

Switch

(7 hodnocení)

4. 1. 2009 15:36:31

Pro hračičky :) http://skola.security-portal.cz/xss_testing.php

4. 1. 2009 15:36:31

https://webtrh.cz/diskuse/problem-s-mysql-insert-a-amp/strana/2#reply164689

David Grudl

7. 1. 2009 17:22:38

Napsal pavolzetor;180991
hmm, asi mate pravdu ale zase si musite vsetky vystupy ustrazit, ja davam htmlspecialchars zo zvyku pred vstupom, jeden chalan co sa vyzna v IT bezpecnosti povedal ze je to tak lepsie (mensia pravdepodobnost vyskytu chyby), radsej dat vecsie pole na ulozenie

To je naprostý nesmysl. Naopak to vede k novým a těžko řešitelným chybám, viz ono ořezání uprostřed entity. Takže do databáze jen čistý text a escapovat při výstupu do HTML.

7. 1. 2009 17:22:38

https://webtrh.cz/diskuse/problem-s-mysql-insert-a-amp/strana/2#reply164688

Martin Hujer

(21 hodnocení)

7. 1. 2009 17:45:45

Aneb "Filter Input, Escape Output"

7. 1. 2009 17:45:45

https://webtrh.cz/diskuse/problem-s-mysql-insert-a-amp/strana/2#reply164687

pavolzetor

13. 1. 2009 16:32:57

ok, diky, projekty co som robil doteraz uz asi nebudem prepisovat ale nove veci budem robit inak, idky moc za rady, spraivm si funkciu ze napr.htmlReplace a ta to spravim aby som to nemusel vzdy cele pisat, este raz diky

13. 1. 2009 16:32:57

https://webtrh.cz/diskuse/problem-s-mysql-insert-a-amp/strana/2#reply164686

crs

(1 hodnocení)

13. 1. 2009 18:48:43

O addslashes(), htmlspecialchars(), mysql_real_escape_string() a dalších viz článek Jakuba Vrány http://php.vrana.cz/escapovani.php

13. 1. 2009 18:48:43

https://webtrh.cz/diskuse/problem-s-mysql-insert-a-amp/strana/2#reply164685