veiligheids vraag.

Door Donster op 28-03-2006 16:37 gewijzigd op 28-03-2006 16:39

718 views

Ik heb een ubb functie , waar ik verschillende functie overheen haal , zie voorbeeld hieronder:
<?

// hier een hele rits ubb codes...

$waarde = addslashes($waarde);
$waarde = htmlspecialchars($waarde, ent_quotes);
$waarde = nl2br($waarde);

return $waarde;

?>

Als ik het veld 'NIEUWS' heb , die mijn ubb functie gebruikt .. dan is de input toch niet veilig? ( aleen de ubb codes zelf)

Is het in dit geval beter om 'addslashes' in mijn ubb weg te halen , en die addslashes voor het 'NIEuWS' veld zelf te zetten.

Of zijn er betere opties om het nieuws veld veilig te maken?

Donster

28-03-2006 17:55

Nog iets vergeten namelijk: Is addslashes zoviezo veilig , of er dan nog iets worden uitgevoerd?

Pieter van Linschoten

28-03-2006 18:08

Als je iets de database IN wil zetten, gebruik je sddslashes().

Als je het er dan weer uit wil halen gebruik je stripslashes().

Dit is zeker bij queries veilig.
Om een pagina veilig te maken zorgt HTMLSPECIALCHARS() ervoor dat de bv <b>hoi</b> niet hoi wordt, maar gewoon <b>hoi</b>.

Hierdoor kan er geen cross site scripting (XSS) plaatsvinden

Onbekende gebruiker

28-03-2006 18:15

Bij querys mag je ook mysql_nogwat_real_value gebruiken.

Reageren

Inloggen om te reageren