mysql_real_escape_string

Door Manuel Van den hoogaard op 10-09-2013 09:20

1.970 views

Goedendag,

Ik zit met een klein beveiligingsvraagje,
In een oud berichtensysteem kwam ik dit tegen:

<textarea name="bericht" cols="80" rows="30"></textarea>
$bericht = $_POST['bericht'];

Nu zie ik direct dat het niet safe is, en zwaar lagged...
Nu kan dit volgens mij met de volgende aanvulling worden opgelost, toch?
code:

$bericht = mysql_real_escape_string($_POST['bericht']);

Graag hoor ik van jullie wat het beste is :)

//Manuel

Joran den Houting

10-09-2013 09:25

Het ligt er heel erg aan wat je met deze string gaat doen, plaats je hem in de database? Moet hij nog omgezet worden naar html voor opmaak, etc?

Manuel Van den hoogaard

10-09-2013 09:35

Het is een berichtensysteem.
Deze string wordt inderdaad in het database geplaatst.

daarna wordt die opgehaald uit het database waarna er via de volgende codes wordt gegenereerd:
$message->bericht = eregi_replace("\[b\]","<b>",$message->bericht);

- SanThe -

10-09-2013 09:51 gewijzigd op 10-09-2013 09:51

Let op dat eregi-functions antiek zijn.

Warning

This function has been DEPRECATED as of PHP 5.3.0. Relying on this feature is highly discouraged.

Manuel Van den hoogaard

10-09-2013 09:53

Welke wordt tegenwoordig gebruikt?

- SanThe -

10-09-2013 09:56

preg_replace()

Manuel Van den hoogaard

10-09-2013 09:57

omg, dat wist ik wel. #dom!

Neej, maar is dat veilig genoeg zo als ik mysql_replace... ertussen laat komen?

Jeroen VD

10-09-2013 11:23

als het voor de database is wel... bij het plaatsen in het bericht zelf moet je geloof ik html_entities() gebruiken

Reageren

Inloggen om te reageren