безопасные данные с переносом строк из textarea

sunyang · 8 Июн 2012

я приномаю в $_POST['i_am'] данные из texarea поля.
Нужно их записать в базу с учетом переносов на новую строку, да еще чтобы была защита от sql-инъекций и XSS-атак.
написал вот так:

PHP:

$i_am =nl2br(htmlspecialchars($_POST['i_am'], ENT_QUOTES));

или лучше вот так написать?:

PHP:

 $i_am = str_replace("\\n","<br>",mysql_real_escape_string($_POST['i_am']));

с защитой от инъекций вроде норм справляется mysql_real_escape_string, но она экранирует \n которые мы должны преобразовать в <br> функцией nl2br(), чтобы учесть переходы на новую строку.

Как лучше защититься с учетом переносов?

ev-goo · 8 Июн 2012

Можно сделать что то подобное

PHP:

$i_am = mysql_real_escape_string (trim (strip_tags ($_POST['i_am'])));

Затем записываешь их базу. Ну а выводишь из базы через функцию nl2br

PHP:

while ($row = mysql_fetch_assoc($result)){
            $newsbr = nl2br ($row['news']);
           
        }

sunyang · 9 Июн 2012

ev-goo написал(а):
Можно сделать что то подобное

PHP:

$i_am = mysql_real_escape_string (trim (strip_tags ($_POST['i_am'])));

Затем записываешь их базу. Ну а выводишь из базы через функцию nl2br

PHP:

while ($row = mysql_fetch_assoc($result)){ $newsbr = nl2br ($row['news']); }

чет при таком методе, у меня в базу кавычки записались, как есть: ' и " без экранирования.
Это нормально?

recasher2k12 · 9 Июн 2012

sunyang написал(а):
чет при таком методе, у меня в базу кавычки записались, как есть: ' и " без экранирования.
Это нормально?

В базу они так и должны записаться только данные (кавычки и другие всевозможные символы), а экранируешь их именно в SQL-запросе, чтобы не прошли xss, а также чтобы просто запрос не сломался при появлении в данных кавычек.

dino · 9 Июн 2012

recasher2k12 написал(а):
В базу они так и должны записаться только данные (кавычки и другие всевозможные символы), а экранируешь их именно в SQL-запросе, чтобы не прошли xss, а также чтобы просто запрос не сломался при появлении в данных кавычек.

Одна кавычка ` в записываемых данных приведет в ошибке записи в БД, если не при записи, так потом при выводе инфы из базы... имхо данные изначально нужно утюжить функцией htmlspecialchars($_POST['i_am'], ENT_QUOTES) и всякую лабуду типа тегов, кавычек и прочего преобразовывать в html сущности... тогда при дальнейшей обработке не будет возникать проблем...

ev-goo · 9 Июн 2012

dino написал(а):
Одна кавычка ` в записываемых данных приведет в ошибке записи в БД, если не при записи, так потом при выводе инфы из базы...

Ничего подобного. Все без проблем записывается и выводится.

Sankaboy · 9 Июн 2012

Здесь раз раз не приходится. Дино прав, вылезет при какой-то ситуации. Сам убедился, мучился с этим безопасным вводом в БД.

recasher2k12 · 10 Июн 2012

Ребята, в mysql можно хранить хоть exe-файлы. Какие вам там кавычки мешают работе mysql? Вы о чем?!?!

_Dark_ · 11 Июн 2012

ev-goo написал(а):
Ничего подобного. Все без проблем записывается и выводится.

Пользователь Dino скорее всего имел в виду не `, а '

zek24 · 11 Июн 2012

не столько ответ, сколько вопрос - я правильно понял, что проверку по-хорошему лучше делать трижды?

- на стороне юзера (JS)
- на стороне сервера (php)
- на стороне БД (sql)
Или достаточно только пхп, дабы не перегружать "систему"?

безопасные данные с переносом строк из textarea

sunyang

Мастер

ev-goo

Создатель

sunyang

Мастер

recasher2k12

Гуру форума

dino

Мой дом здесь!

ev-goo

Создатель

Sankaboy

Постоялец

recasher2k12

Гуру форума

_Dark_

Постоялец

zek24

Мой дом здесь!