Função para evitar ataques

Mateus Silva · Abril 17, 2015

seguinte galera, eu tenho um sistema onde uso a seguinte função para inserção de dados no db:

function inject($str){
		$str = get_magic_quotes_gpc() ? stripslashes($str) : $str;
        $str = function_exists('mysql_real_escape_string') ? mysql_real_escape_string($str) : mysql_escape_string($str);
		$str = trim($str);
		$str = strip_tags($str);
		return $str;
	}

porém, ela não restorna tags html e adiciona \ nas aspas, como é de se esperar. o que eu gostaria é que: mesmo que contenham tags html ou aspas, aparecessem o conteúdo normalmente na hora de imprimir, pois é um sistema de noticias e caso precise utilizar aspas ou caracterers especias nao fica interessante que adicione barra invertida ou oculte os caracteres, alguem tem algum link pra estudo ou uma função que faça isso ? obrigado.

ESerra · Abril 17, 2015

Utilize prepared statements, isso resolve o seu problema.

Alaerte Gabriel · Abril 17, 2015

Para mais informações, estude: http://php.net/manual/pt_BR/mysqli.quickstart.prepared-statements.php

Mateus Silva · Abril 17, 2015

eu ja utilizo bindValue(); quer dizer que usando ele não preciso mais utilizar funções para limpar a string ?

Williams Duarte · Abril 17, 2015

PDO ou Mysqli?

pois é esta função ai e para mysql_*

E para guardar informações vindo text area usando wysiwygs, converta todos os caracteres aplicáveis em entidades html

entrada

htmlentities((string)$string, ENT_QUOTES, 'utf-8');

saída

html_entity_decode((string)$string, ENT_QUOTES, 'utf-8')

Mateus Silva · Abril 18, 2015

PDO ou Mysqli?

pois é esta função ai e para mysql_*

E para guardar informações vindo text area usando wysiwygs, converta todos os caracteres aplicáveis em entidades html

entrada
htmlentities((string)$string, ENT_QUOTES, 'utf-8');
saída
html_entity_decode((string)$string, ENT_QUOTES, 'utf-8')

é PDO amigo

Williams Duarte · Abril 18, 2015

Então não faz sentido a utilização da função acima, pois não é para PDO.

Caso esteja utilizando ela em várias partes do sistema, troque por esta abaixo:

function inject($str){
    $str = filter_var($str, FILTER_SANITIZE_STRING);
    return trim( $str );
}

http://php.net/manual/pt_BR/function.filter-var.php

E não use FILTER_SANITIZE_STRING para dados vindo de wysiwygs, ai é a que passei acima!

htmlentities e html_entity_decode

Mateus Silva · Abril 19, 2015

perfeito! muito obrigadooo

Arquivado

Função para evitar ataques

Recommended Posts

Mateus Silva 64

Compartilhar este post

Link para o post

Compartilhar em outros sites

ESerra 744

Compartilhar este post

Link para o post

Compartilhar em outros sites

Alaerte Gabriel 662

Compartilhar este post

Link para o post

Compartilhar em outros sites

Mateus Silva 64

Compartilhar este post

Link para o post

Compartilhar em outros sites

Williams Duarte 431

Compartilhar este post

Link para o post

Compartilhar em outros sites

Mateus Silva 64

Compartilhar este post

Link para o post

Compartilhar em outros sites

Williams Duarte 431

Compartilhar este post

Link para o post

Compartilhar em outros sites

Mateus Silva 64

Compartilhar este post

Link para o post

Compartilhar em outros sites

select com varias categorias por horario

comando like (Mysql) no php

Alguém com pratica em subir site em codeigniter4 na Hostinger? Não consigo acessar o bd. Erro de Autenticação. O mesmo site funciona normal em outro servidor web.

Fóruns

Tempo Real

Informação importante