kommersant Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Привожу еще раз вашу цитату, где вы предлагаете делать валидацию ПРИ ВЫВОДЕ а не на входе. Или под словом "лабуду" вы понимаете, простите, подрочить? :::   Цитата:  Это говорил zalexf $message=substr( nl2br(htmlspecialchars(addslashes(trim($message)))) ,0,1000);      Это говорил SiMM Всю остальную лабуду нужно делать ПРИ ВЫВОДЕ, а не когда попало.     Как я понимаю под остальной лабудой понимается добавление substr, nl2br, htmlspecialchars, trim и addslashes.   Цитата: И вообще, ответьте на вопрос предыдущего поста - зачем ТАМ (при выводе) addslashes?   Вы знаете, я тоже не понимаю зачем он ВАМ НУЖЕН ПРИ ВЫВОДЕ, если при выводе обычно ставят stripslashes.       Добавлено   Цитата: И вообще, ответьте на вопрос предыдущего поста - зачем ТАМ (при выводе) addslashes?   Соори, я теперь понял, что ЭТО был вопрос...   Отвечаю: Цитата:   addslashes (PHP 3, PHP 4 , PHP 5)   addslashes -- Экранирует спецсимволы в строке Описание string addslashes ( string str)   Возвращает сроку str, в которой перед каждым спецсимволом добавлен обратный слэш (\), например для последующего использования этой строки в запросе к базе данных. Экранируются одиночная кавычка ('), дойная кавычка ("), обратный слэш (\) и NUL (байт NULL).     Всего записей: 107 | Зарегистр. 27-05-2003 | Отправлено: 18:53 11-01-2005 | Исправлено: kommersant, 18:55 11-01-2005

kommersant Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору У меня такое чувство, что вы можете только ссылками кидаться, и словами... Сами прочитайте: Цитата:   В PHP есть еще одна экзотическая директива для автоматического изменения ваших данных magic_quotes_sybase. Если вы с mysql, то она может вам подгадить, поскольку если она включена одновременно с magic_quotes_gpc, то последняя не сработает! То есть, если мы положимся на get_magic_quotes_gpc() и не прослешим данные вручную, то получим все вышеописанные проблемы.   Цитата: И, хотя мне неизвестны случаи, когда эта директива была бы включена, тем не менее, при централизованной обработке данных можно проверять и её.   Мне такие случаи тоже неизвестны.   Цитата: ибо ваш addslashes вообще никаким боком к MySQL не относится - это приблуда для Sybase     Так это вообще-то функция PHP а не mysql, и с каких это пор addslashes стала приблудой для Sybase? Всего записей: 107 | Зарегистр. 27-05-2003 | Отправлено: 19:29 11-01-2005

alexhemp упал с пальмы Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору kommersant Не путайте теплое с мягким.     Одно дело экранировать управляющие символы SQL-сервера при записи в базу (в данном случае - кавычки)   Это в случае MySQL/PHP лучше всего делать mysql_real_escape_string(). В базе тогда появится ровно то, что ввел пользователь, и никаких SQL Injection не получится в принципе, что-бы там не было в данных.   Далее - данные попали в базу. Там может быть все что угодно, даже HTML теги Ведь они могут использоваться не только в HTML а например в URL или еще где (в JavaScript например или вообще не в Web).   Поэтому экранировать управляющие символы для данных из базы нужно при выводе, а как это делать - зависит от того, что выводим.   В случае HTML - это будет htmlspecialchars(). В случае URL - urlencode() и т.п. - все зависит от того, КУДА вы выводите. Может это PDF или WML.   Так что все зависит от задачи.   Общее только одно   1. Для защиты от SQL Инекций нужно экранировать управляющие символы SQL сервера 2. При выводе - нужно экранировать управляющие символы того формата в который выводите. Ясно, что для разных форматов разные управляющие символы.   Насчет magic_quotes_sybase - вы сначала детальнее разберитесь о чем идет речь. Это возможности автоматического экранирования. Те кто знают как они работают - используют их или отключают. включение magic_quotes_gpc и magic_quotes_sybase  одновременно в случае если используется MySQL - вообще-то ошибка конфигурирования сервера. Всего записей: 1945 | Зарегистр. 13-12-2001 | Отправлено: 16:03 13-01-2005 | Исправлено: alexhemp, 16:06 13-01-2005

Sutar BANNED Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору FasaGasa Код: $_POST["message"] = htmlentities($_POST["message"], ENT_QUOTES, "UTF-8"); - преобразовываем все "плохие" символы (рекомендуем) $_POST["message"] = str_replace("\n", "<br/>", $_POST["message"]); //перенос строки $_POST["message"] = str_replace("\r", "", $_POST["message"]); //не помню что... но нужно $_POST["message"] = trim(preg_replace("/\s+/u"," ", $_POST["message"])); // уборка лишних пробелов.   $_POST["message"] - имя нашего textarea   Всего записей: 1150 | Зарегистр. 15-08-2011 | Отправлено: 20:37 07-01-2014

Страницы: 1 2

Компьютерный форум Ru.Board » Интернет » Web-программирование » PHP: textarea + БД и перенос строки

Переход по форумам  Закладки   » Компьютеры Цифровое изображение Программы Microsoft Windows UNIX Другие OS Hardware В помощь сисадмину Прикладное программирование Игры Форумные игры   » Интернет Web-программирование В помощь вебмастеру Графика Хостинг Зацените-ка!   » Тематические Ikonboard v.2 Ikonboard v.3 Invision Board Другие форумы PHP-Nuke и другие порталы Мобила   » Общие Спорт Флейм Темы по региональным встречам Музыка и Кино Юмор Литература и Живопись   » Ru.Board Новости Помощь по форуму   » Андеграунд eBookz Варезник Раздачи и акции Мобильный варезник Андеграунд Игры и фильмы   » Специальные Тестирование