26 replies to this topic

[Luke]

Galera como eu devo usar o str_replace para tirar alguns caracteres indesejavéis que o user possivelmente possa enviar ao meu BD?


Tipo.... se o cara, maliciosamente, digitar qualquer tag html ou JS no form e enviar ao BD isso poderá causar falha no programa.... então pensei em usar o str_replace para retirar algumas tags.... alguém jah usou isso e funcionou?!

[_error_log_]

troca os caracteres @#$! por (outra_palavra)

str_replace("@#$!)"outra_palavra";$texto);

_________________________________________________________________

echo htmlspecialchars("$var", ENT_QUOTES);

Com isso ele nao colocara codigos html na pagina

<img src="img">

se tivesse isso ai ele exibiria uma imagem na hora do select.. se uzar aquela função zinha lah em cima iria aparecer só o texto e nao uma imagem.

qualquer coisa. veja no site do php.net

[Balala]

Você não precisa usar str_replace, existe outra função pronta para eliminar os códigos html:

htmlspecialchars();

Faça dessa forma:

Ao gravar no banco de dados utilize addslashes(), e ao imprimir os resultados na tela, utilize:

$texto = stripslashes($texto);
$texto = htmlspecialchars($texto);
$texto = nl2br($texto);

Isso elimina as barras "\" que foram adicionadas pelo addslashes, limpa os códigos html colocando-os como texto mesmo, e muda os enters para <br>

Agora um comentário, se estiver acontecendo um erro ao postar seus tópicos, não poste novamente, pois ele já foi enviado, sempre que acontecer o erro, verifique para ver se não foi postado já . Você teve alguns posts repedidos hein

[Marcão]

Você não precisa usar str_replace, existe outra função pronta para eliminar os códigos html:

htmlspecialchars();

Faça dessa forma:

Ao gravar no banco de dados utilize addslashes(), e ao imprimir os resultados na tela, utilize:

$texto = stripslashes($texto);
$texto = htmlspecialchars($texto);
$texto = nl2br($texto);

Isso elimina as barras "\" que foram adicionadas pelo addslashes, limpa os códigos html colocando-os como texto mesmo, e muda os enters para <br>

Agora um comentário, se estiver acontecendo um erro ao postar seus tópicos, não poste novamente, pois ele já foi enviado, sempre que acontecer o erro, verifique para ver se não foi postado já . Você teve alguns posts repedidos hein

como ficaria a inserção no banco??
mysql_query... com addslashes(),

[Balala]

$texto = $_POST['mensagem']; // Imagine o texto Mario's Bro
$texto = addslashes($texto); // Aqui ele iria ficar Mario\'s Bro

mysql_query("INSERT INTO tabela (mensagem) VALUES ('$texto')");

E quando for retornar o texto, teria que aplicar o stripslashes para remover a barra adicionada

[Marcão]

Saquei
dei uma lidinha no manual e tirei minhas duvidas!!

[Luke]

Agora um comentário, se estiver acontecendo um erro ao postar seus tópicos, não poste novamente, pois ele já foi enviado, sempre que acontecer o erro, verifique para ver se não foi postado já . Você teve alguns posts repedidos hein

Sr. moderador....volto a pedir desculpas ....eu tive um problema com minha conexão com o server WMONLINE as 11:56 . Eu estava obtendo mensagens de erro....

Gostaria que os demais colegas me perdoassem pelo o ocorrido e afirmo com certeza que incidentes como esse não mais ocorrerão.... Há tanto tempo cadastrado nessa comunidade esse foi meu primeiro problema.....


Grato e novamente ....perdão!

[Balala]

Ninguém morreu por causa disso também né No stress, já havia ocorrendo esses erros com alguns usuários, só que parou por algum tempo, e também, fui eu mesmo que li a sua mensagem para deletar os outros

Gostei do Sr. Moderador uhuhuhuhuh. Parabéns pela atitude de se desculpar

[MarviN*]

Outra função muito útil é a strip_tags();

A vantagem é que você pode permitir algumas tags e bloquear as demais.. por exemplo:

[Luke]

Caras...me expliquem uma coisa.....

qual o real perigo de não se usar por exemplo htmlspecialchars ou str_replace ou coisas do gênero?!

Tah bom....eu sei que o user pode dar uma injeção de SQL na query mas isso apenas resultaria na não exibição de um conteúdo....certo?! E quem sofreria o problema seria ele mesmo...poiis não conseguiria ver o conteúdo....

[MarviN*]

Imagine que você tem um mural de recados por exemplo!!!

Além do SQL Injection, o cara pode colocar tags que danificariam o seu site, com JavaScript, IFrames, popups e tudo que o html proporciona.


Se ele colocar um iframe que chame a mesma página (no caso, a do mural) dentro dele, isso geraria um loop infinito, ou seja, o seu mural com o iframe seriam abertos, e abertos, e abertos.. consumindo sua banda e atrapalhando a navegação do se usuário.

[Balala]

Somente exibição?

Imagine assim para ter o valor do perigo:

Provavelmente você conecta ao banco de dados, se ele faz um simples código que somente apresenta pra ele o $login, $senha ? Pronto, perdeu sua base de dados completa. Qualquer outra coisa, algo como, ele finaliza a query e poem a simples função unlink('arquivo.php'). Perdeu os arquivos também, o que sobrou do seu site? O diretório cgi-bin

[Luke]

Wow!

Caras entaum o negócio é proteger mesmo o code e restringir todo e qualquer tipo de caracters.....

Bem....eu uso todas as funções para tirar tags HTML de meu sistema de news e o addslashes para inserir dados no BD.... será que é necessário fazer mais alguma coisa?!

[Balala]

Quanto a segurança é bom trabalhar com o register_globals em OFF, não fazer permição 777 para as pastas que você irá enviar arquivos, mas sim envia-los por funções de ftp, e restringuir os tipos de arquivos que podem ser enviados. Já imaginou ele enviar um php com alguns funções "extras"?

[Luke]

Quanto a segurança é bom trabalhar com o register_globals em OFF, não fazer permição 777 para as pastas que você irá enviar arquivos, mas sim envia-los por funções de ftp, e restringuir os tipos de arquivos que podem ser enviados. Já imaginou ele enviar um php com alguns funções "extras"?

Cara nem pensar em register_globals ON.... isso é doidera....

Agora me diga uma coisa....essas funções de tratamento de tagas seja elas qual forem.... seria interessante usa-las em UPDATE....de dados.....

Eu penso que seja..... e ai....!?