[ داله ] دالة حماية النصوص strip_tags() .

[ff5006]

وجدت هذه mysql_escape_string مستخدمه في ال vb حسب ما اذكر

عموما لحماية ال get أستخدم intvalue لما هتكون بتجيب رقم الموضوع أو التصنيف إلخ
ولما هتكون بتجيب نص مثلا do إستخدم selectcase وحدد الشروط
وأعمل ليها ديفولت بحيث لو ليست من الخيارات اللي حددتها تطلع له صفحة خطأ مثلاً ( أو حسب ما تحب ممكن تحوله علي الرئيسية )

نادرا ما نجيب من الجيت نص لعمل إستعلام عنه في القاعدة ( دائما ما يكون رقم والنص لتحديد نحن أين مثلا في صفحة المشاركة ولا التصويت ولا ولا ولا )
ولكن لو كنت هتستخدمها في الجلب إستخدم mysql_real_escape_string

بكده أنتهي أمر الجيت
أما البوست فاحميها ب mysql_real_escape_string قبل إدخالها قاعدة البيانات أو عمل إستعلام بها

لكن حينما تجلب من قاعدة البيانات وتبدأ بالعرض
كيف تحمي البيانات قبل عرضها ؟
فربما يكون بها كود جافا خطير أو شيئ ونحن دائما نجلب البيان ونعكس الأمر لنحذف الباك سلاش قبل العرض

فكيف نحمي البيان قبل عرضه للزائر ؟

نعم صحيح , في $_GET نادر جداً جداً مانحضر نصوصاً بواسطتها , بل بالأغلب ارقام

كود PHP:

$Page = intval($_GET['page']);
if($Page == 0 OR $Page == ''){ $Page = 1; }
// او يمكنك إستعمال الداله !is_numeric
$Page = intval($_GET['page'];
if(!is_numeric($Page){ $Page = 1; } 


بالنسبه لحماية البيان قبل عرضه للزائر ...
استعمال strip_tags و str_replace لبعض الكلمات , أتوقع انه سيفي بالغرض .

والله أعلم

[محب الله ورسوله]

نعم صحيح , في $_GET نادر جداً جداً مانحضر نصوصاً بواسطتها , بل بالأغلب ارقام

كود PHP:

$Page = intval($_GET['page']);
if($Page == 0 OR $Page == ''){ $Page = 1; }
// او يمكنك إستعمال الداله !is_numeric
$Page = intval($_GET['page'];
if(!is_numeric($Page){ $Page = 1; } 


بالنسبه لحماية البيان قبل عرضه للزائر ...
استعمال strip_tags و str_replace لبعض الكلمات , أتوقع انه سيفي بالغرض .

والله أعلم

في دوال جاهزة للتنقيح ولكنها كبيرة جدا ومرهقة
أعتقد لو نستخدمها سكون أفضل إستخدامها وقت الإدخال وليس الإخراج
لأن إدخال النص أقل من عدد مرات عرضه

ولا ما رايك ؟

ما الذي تستخدمه السكربات في تنقية المشاركات
مثلا الفي بي أو phpbb

[ff5006]

في دوال جاهزة للتنقيح ولكنها كبيرة جدا ومرهقة
أعتقد لو نستخدمها سكون أفضل إستخدامها وقت الإدخال وليس الإخراج
لأن إدخال النص أقل من عدد مرات عرضه

ولا ما رايك ؟

ما الذي تستخدمه السكربات في تنقية المشاركات
مثلا الفي بي أو phpbb

لايوجد فرق , سواءً في الإدخال او الإخراج , كـُلن وطريقته ...
صحيح انه لو جعلناها في الإدخال فإنه ستكون أسرع بالإخراج ...

[محب الله ورسوله]

لايوجد فرق , سواءً في الإدخال او الإخراج , كـُلن وطريقته ...
صحيح انه لو جعلناها في الإدخال فإنه ستكون أسرع بالإخراج ...

طيب ما رأيك في طريقة رائعة أكثر البرمجيات تستخدمها ؟

هي تحويل الرموز الخاصة بالهتمل والبرمجية للترميز المقابل لها
وبالتاي حينما يتم الجلب والعرض تعرض أمامك كرموز بدون تطبيق

كيف ذلك ؟

بواسطة htmlentities()

وبالتالي حتي لو تم وضع كود جافا او html عند الجلب والعرض علي المتصفح سيتم عرضه كنص بدون تنفيذ ( التحويل المقصود هو كتحويل > إلي < وهكذا ويتم التحويل للمدخل ثم تخزينه بقيمه الجديدة في قاعدة البيانات وحينما يتم الجلب يتم عرضها بشكل صحيح ولكن دون تنفيذ )

هذه أفضل طريقة وجدتها

ولو سألتني عن كيفية إتاحة بعض الرموز
فسأقول لك أفعل مثل السكربتات الكبري

توفير نظام خاص بك وإستخدم الجافا سكربت أو التعابير القياسية لتحويل لل html وتنفيذه بعد تحويل النص بواسطة htmlentities()

مثلاً

[b] gg [/*b*] ( النجوم للتعطيل هنا فقط )

مع العلم أن [] لا يتم تحويلها

موفق أخي

[ff5006]

صحيح كلامك ... كنت افكر فيها , لكن قلت ماذا لو استعملت محرر wysiwyg جاهز ؟
فسيتم تحويل جميع وسوم ال html إلى العبارات المقابله لها !

اما بخصوص برمجة نظام خاص , فقصدك مثل الـBBCode لكنها ستكون لاني افضل وضع محرر متطور wysiwyg في البرمجيات لكي يكون من الأسهل التنسيق ... وليس لدي خبره بالجافاسكربت لكي اقوم بالتعديل على المحررات .
على العموم وسائل الأمان كثيره ... وبالنهايه الأمان اهم من السرعه...
لكن ماذا لو استخدمت محرر متطور وقمت بالإستبدال

كود PHP:

<b> with [*b]
</b> with [*/b]
<h1> with [h1] 


مثلاً ...

فهل ستنجح ؟
اتوقع انها ستقوم بتبطيئ السكربت بنسبه كبيره ...

وبالتوفيق للجميع إن شاء الله , شكراً لك على النقاش الرائع و الهادف .

[محب الله ورسوله]

حتي مع الوايزوج تجد المحررات تخبرك كيف تتعامل مع المحرر في المدخلات والمخرجات
ويفضل أن تستخدم محرر ليس فيه html إلا لو كان المحرر داخل لوحة تحكم تثق في من يدخلها
لكن بالخارج أستخدم محرر يعتمد علي وسوم وتحويلها بالجافا سكربت مثل الفي بي مثلا
وتأكد تماماً من إيقاف ال html لانه مهما خرجت دوال الحماية فلا يمكن آمن التلاعب فيها مطلقاً ( كان للعندليب محاولة سابقة في عمل دالة حماية تستطيع فيها السماح بال html بدون خوف ولكن لم يصل حسب ما اذكر )

أعتقد أن الحماية بدالة واحدة هو أسلوب المبتدئين
الحماية في السكربتات المحترفة تعتمد علي المدخل نفسه

فلو كان حقل بريد يكفي فيه التعابير القياسية ولا داعلي لحمايته أكثر من ذلك !!
ولو كان حقل عنوان فيكفي تعطيله mysql_real_escape_string مع تحديد عدد الحروف

إلخ
كل عملية جلب يجب فيها التفكير بشكل خاص لأفضل طريقة لحمايتها وستجد الأمر مع التكرير سهل للغاية

ولكن نظام الدالة الموحده منفر للغاية وألغيته تماماً من حساباتي ( خاصة وأننا نستخدمه في ال get أيضا رغم أن حمايتها في غالب الأمر ليس معضلة علي الإطلاق )

[ff5006]

صحيح كلامك ...
لكن نادراً ماتجد محرر wysiwyg يقوم بالتحويل إلى BBCode , وجدت بعض المحررات لكنها ضعيفه , ووجدت محررات قويه لكنها ليست مجانيه .

سأبحث حتى أجد إن شاء الله

وشكراً لك.

[samehzone]

شكرأ

ولاكن هل لك ان تشرح الية عمل الدالة

كيف راح تفلتر النصوص

[ELNOURS.COM]

بارك الله فيك

[ff5006]

samehzone
قم بتجربتها وسترى.


ELNOURS.COM
وفيك , حياك الله .

[soptimes.com]

أنا أمر من نفس المشكلة, فأنا لا أريد منع الكلمات مثل جافا و ميتا و جميع الكلمات الخطرة , أنا أريدها أن تكون مثل الفيبي , الكلمات تعرض عادي لكن لا تفعل, و اقترح علي htmlentities, و لكن مشكلة هذه الدالة أنها تحول اللغة العربية إلى رموز بحيث كل حرف عربي يتحول إلى 4 رموز مما سيسبب تضاعف البيانات المخزنة 4 اضعاف, فهل هناك أفكار مشابهة لما هو معمول في الفيبي