شكرا جزيلا اخ داينامك ... ممكن لو تكرمت توضح ما المقصود؟ وما الحل بهذه النقاط؟ لو تكرمت
1- ممكن يكلفك processing time انت في غنى عنه .. اما يكون المستخدم (غير مبالي) .. او مخطأ بادخال البيانات ..
2- ممكن يسوي ال user لك sql attack ....
| |
شكرا جزيلا اخ داينامك ... ممكن لو تكرمت توضح ما المقصود؟ وما الحل بهذه النقاط؟ لو تكرمت
1- ممكن يكلفك processing time انت في غنى عنه .. اما يكون المستخدم (غير مبالي) .. او مخطأ بادخال البيانات ..
2- ممكن يسوي ال user لك sql attack ....
__________________
قال صلى الله عليه وسلم :
"الندم توبة، و التائب من الذنب كمن لا ذنب له"
اقصد انك ما سويت checking كافي على البيانات المدخله ......
بالنسبة للنقطه الاولى ....
مثلا الهاتف ممكن يكون كتب فيه احرف بالخطأ ... اول رقم واحد .... او او .....
يعني انت بطريقتك هذي بتدخل البيانات ايا كانت .... بمكرج انها ما تكون فارغه .... و هذا خطأ كبير .... لازم تحاول تتاكد بقدر الامكان ان المستخدم ما اخطأ ..... و الدوال كثييييير بالمجال هذا .
اما الثانيه ....
لازم تسوي addslashes لاي شي تدخله الى قاعدة البيانات .... عشان ما تعطي الفرصه لاي احد انه يخدع البرنامج ....
و اما htmlspecialchars ..... هذي عشان مثلا لو دخل java script في الكود و عرضتها انت ما يقدر يسوي اي شي خطر (مثلا يسرق cookies) .....
.... المهم حاول تأكدك من صحة المدخلات يكون ادق من كذا .... والمصادر حول الموضوع هذا كثييير منها اجزاء ال manual اللي حطيتها لك .....
بالنسبة للنسخ الحديثة لاداعي لعمل addslashes لانها اصبحت تضاف اليا لي قيمة يتم ادخالها لقواعد البياناترد مقتبس من [Dynamic]
اقصد انك ما سويت checking كافي على البيانات المدخله ......
بالنسبة للنقطه الاولى ....
مثلا الهاتف ممكن يكون كتب فيه احرف بالخطأ ... اول رقم واحد .... او او .....
يعني انت بطريقتك هذي بتدخل البيانات ايا كانت .... بمكرج انها ما تكون فارغه .... و هذا خطأ كبير .... لازم تحاول تتاكد بقدر الامكان ان المستخدم ما اخطأ ..... و الدوال كثييييير بالمجال هذا .
اما الثانيه ....
لازم تسوي addslashes لاي شي تدخله الى قاعدة البيانات .... عشان ما تعطي الفرصه لاي احد انه يخدع البرنامج ....
و اما htmlspecialchars ..... هذي عشان مثلا لو دخل java script في الكود و عرضتها انت ما يقدر يسوي اي شي خطر (مثلا يسرق cookies) .....
.... المهم حاول تأكدك من صحة المدخلات يكون ادق من كذا .... والمصادر حول الموضوع هذا كثييير منها اجزاء ال manual اللي حطيتها لك .....
المطلوب ان تتأكد من ذلك قبل عمل السكربت
ايضا لاتنسى ان تحذف الـ slashes عند عرض البيانات بساتخدام stripslashes
__________________
www.abu3amer.com
شكرا لملاحظتك ... كلامك صحيح .... بس هذا الوضع الافتراضي .... لكن ممكن تكون الاعدادات متغيره .... ومثل ما تعرف الموضوع حساس شوي ......
انا شخصيا اطفي الخاصيه هذي في سكربتاتي واسوي addslashes يدويا ..... خاصه لو السكربت بانشره بالانترنت ..... على كل حال عشان اعدل الخطأ اللي ذكرته هذا كلام المصدر ....
كود:The PHP directive magic_quotes_gpc is on by default, and it essentially runs addslashes() on all GET, POST, and COOKIE data. Do not use addslashes() on strings that have already been escaped with magic_quotes_gpc as you'll then do double escaping. The function get_magic_quotes_gpc() may come in handy for checking this.
السلام عليكم ورحمة الله
كلامك اخي داينمك ماعليه اي غبار ولكن حببت التوضيح فقط لاغير
يمكن عمل شرط للتأكد من ذلك
مع التحيةكود PHP:if (!get_magic_quotes_gpc())
{
addslashes($string);
}
__________________
www.abu3amer.com
ضوابط المشاركة
