שלום חבר'ה,
אני רוצה להציג מס פונקציות שגיבשתי למניעת הזרקות.
אשמח לדעת אם יש עוד פונקציות לאבטח את המידע המתקבל מידי הגולש.

קוד PHP:

 function String($string){
        $string = mysql_real_escape_string($string);
        $string = htmlspecialchars($string); 
        $string = trim($string); 
        return $string;
    } 


תודה על תשומת הלב!

Your signature did not follow Fresh's signatures policy, therefore it was automatically erased. Please see the E-Mail which has been sent to you, to learn how to fix this.

ישנה דרך לא למנוע שליחת HTML לדוגמא שימוש בפורומים כדי שמשתמשים יוכלו להוסיף תמונות, פונטים וכדומה ולמנוע תוך כדי הזרקות SQL ופרצות אבטחה? (לא רוצה להשתמש ב BBCODE).

חתימתכם הוסרה כיוון שלא עמדה בחוקי האתר. לפרטים נוספים לחצו כאן. תוכלו לקבל עזרה להתאמת החתימה לחוקים בפורום חתימות וצלמיות.

כן.... ראה כאן: http://shiflett.org/blog/2007/mar/a...-preventing-xss

אגיד לך מה אני עושה:

כל המידע שאני מקבל ויודע שאשתמש בו לאחר מכן, אני מסנן לו את תגי ה-HTML עם פונקציית htmlspecialchars ומריץ עליו trim (כי אני יודע שאת זה אני אצטרך לעשות בכל מקרה).
במקרה שלי, המידע בקידוד UTF-8, ולכן אני מריץ עליו פונקצית iconv כדי לודא שכל התוים תקינים וקיימים לפי קידוד Unicode (קידוד UTF-8 מאפשר הכנסת תוים נוספים שאינם כלולים ב-Unicode).
את כל המידע המסונן אני מכניס למשתנה חדש, שאני קורא לו input ("קלט" בעברית).

אח"כ כדי להכניס את המידע למסד הנתונים, אני משתמש בפונקציה printf, ועל הפרמטרים שהם לא מחרוזת הנושא אני מפעיל פונקציית mysql_real_escape_string כדי "להבריח" תוים מסוימים.

כלומר עשיתי הפרדה מבחינת הסינון בין המידע שאני קולט לבין המידע שאני מכניס למסד...