Автор Тема: Как данные пришедшие от пользователя почистить? (Прочитано 7984 раз)

Alexandr · « : 28 Августа 2002, 13:53:41 »

Что лучше сделать с данными пришедшими от пользователя для занесения, например в БД?
Ну там, напр.,

$user_data=trim($user_data);
$user_data=str_replace("\\t", " ", $user_data);
$user_data=str_replace("\\r","", $user_data);
$user_data=preg_replace("/ +/"," ", $user_data);//2- пробела => на 1
$user_data=stripslashes($user_data);

А ещё что мона сделать?
Я ещё такое встречал:

// доп. функция для удаления опасных сиволов
function pregtrim($str) {
return preg_replace("/[^\\x20-\\xFF]/","",@strval($str));
}

Что эт ещё за опасные символы.

Макс · « **Ответ #1 :** 28 Августа 2002, 14:40:09 »

ИМХО самое главное - это addslashes();
А остальное зависит от типа данных и того что с ними будут делать.
С текстом я обычно так поступаю:
$text = addslashes(strip_tags(trim(substr($text,0 , 255))));
По желанию можно еще wordwrap() добавить. Еще в определенных случаях либо preg_replace() удалять символы которые считаешь не нужными.

Еще вариант - делать проверку данных и выводить ошибки пользователю:
if (empty($text)) {
$error = "text is empty";
} elseif (preg_match("/[^A-Za-z0-9_]/",$text)) {
$error = "Bad symbols";
} ....

Alexandr · « **Ответ #2 :** 28 Августа 2002, 14:58:25 »

Цитировать

ИМХО самое главное - это addslashes();

А нахрена слэшнутые данные в базе хранить?

Stek · « **Ответ #3 :** 28 Августа 2002, 15:03:45 »

если пхп автоматом не слешит - то использовать stripslashes, иначе он нафиг не нужен.
Для переменных типа текст неплохо еще trim() использовать.
Для чисел intval()

Переменные желательно принимать непосредственно из нужного массива, например $HTTP_POST_VARS

И вообще лучше обработать директорию через .htaccess со строками

Цитировать

php_flag magic_quotes_gpc on
php_flag register_globals off

Alexandr · « **Ответ #4 :** 28 Августа 2002, 15:34:30 »

Цитировать

если пхп автоматом не слешит - то использовать stripslashes

stripslashes - Вродь убирает слэши.

Цитировать

php_flag magic_quotes_gpc on
php_flag register_globals off

А эт у мя уж есть.

Макс · « **Ответ #5 :** 28 Августа 2002, 15:51:07 »

Цитировать

А нахрена слэшнутые данные в базе хранить?

читай про SQL-injections

Меняздесьдавнонет · « **Ответ #6 :** 28 Августа 2002, 19:28:43 »

короче, горячие эстонские парни.
if(get_magic_quotes_gpc()) addslashes($data);

Макс, персонально для тебя. Никаких оправданий хранению слешнутых данных нет и быть не может. Хранить надо данные как есть. Поэтому слешить ТОЛЬКО один раз. Больше - портить, меньше - гадить.

Макс · « **Ответ #7 :** 28 Августа 2002, 21:06:44 »

RomikChef

Цитировать

Хранить надо данные как есть. Поэтому слешить ТОЛЬКО один раз.

Непонял, хранить как есть или все-таки слешить один раз?

Цитировать

Никаких оправданий хранению слешнутых данных нет и быть не может.

Блин, я тут себя начинаю полным идиотом чувствовать. Данные слешить нужно (согласен, один раз - про большее я и не говорил).

Stek · « **Ответ #8 :** 28 Августа 2002, 21:43:29 »

Цитировать

stripslashes - Вродь убирает слэши

Блин, вернее наоборот, добавлять слеши. Думал одно, а написал другое

Tronyx · « **Ответ #9 :** 28 Августа 2002, 22:18:00 »

Цитировать

А нахрена слэшнутые данные в базе хранить?

Чтобы тебя не "поломали", а то кто-нибудь впишит в переменную свой код на ПХП и тогда...

Дмитрий Попов · « **Ответ #10 :** 28 Августа 2002, 22:28:42 »

Tronyx
Только код не на PHP впишет, а на SQL... Не путайте...

Stek · « **Ответ #11 :** 29 Августа 2002, 00:27:13 »

Цитировать

Чтобы тебя не "поломали", а то кто-нибудь впишит в переменную свой код на ПХП и тогда

И объясни мне, каким образом меня так поломают ?

Alexandr · « **Ответ #12 :** 29 Августа 2002, 09:22:21 »

Цитировать

читай про SQL-injections

Да, интересная статейка.
Но мона ведь всё-таки не слэшить данные, а напр. так

$user_data=str_replace("\'", \'"\', $user_data);//1-ную ковычку на 2-ю

Stek · « **Ответ #13 :** 29 Августа 2002, 10:33:41 »

Alexandr
Ну вот скажем запрос у меня

<?php
$name=$HTTP_POST_VARS[\'name\'];
$SQL="SELECT * FROM table WHERE name=\'".$name."\'";
?>

Покажи мне на примере, как меня могут поломать !

Меняздесьдавнонет · « **Ответ #14 :** 29 Августа 2002, 10:35:21 »

Во-первых, слово кАвычка пишется через "а".
Я бы не обращал внимания если бы эта ошибка на стала разражающе распростаненной, как "извЕните".

Во-вторых, Саша, тебя никто не учил уважению к чужой информации?
Как будет смотреться фамилия Д"Артаньян?
Или JS код, в котором заменят одинарную на двойную?
Да и вообще - ЗАЧЕМ что-то менять, если есть стандартная функция защиты? ТЕМ БОЛЕЕ, что одинарной кавычкой набор спецсимволов не ограничивается. В общем, дурацкая идея.

Специально для тебя ремарка. Я не наезжаю на тебя лично. Я вообще против тебя ничего не имею. Но не считаю себя обязанным промолчать только потому, что у тебя ко мне неадекватное отношение и скорее всего мой ответ вызовет флейм.

Кстати, а ошибку у меня никто не заметил :-)
Конечно же
if(!get_magic_quotes_gpc()) addslashes($data);

Макс, если сделать addslashes, то данные ХРАНЯТСЯ как есть. ;-)
Троникс, хранить - действительно - совершенно не обязательно, и наоборот - вредно. А вот при составлении SQL запроса экранировать спецсимволы - ОБЯЗАТЕЛЬНО. Иначе может возникнуть как непреднамеренная ошибка, так и эти пресловутые инжекции.

Новости:

Автор Тема: Как данные пришедшие от пользователя почистить? (Прочитано 7984 раз)