---

Hej!

Jeg har lige lavet et forum og i "betatesten" fandt jeg ud af at hvis
man i sin tekst skrev noget a la "|<" så blev alt efter | ikke indsat i
databasen.

Det virker på mig som om det er et sikkerhedshul, er det noget jeg kan
gøre ved det?

Pt. ser min kode sådan ud:

$input = addslashes(strip_tags($input));
echo $input; //ved en test med kun at skrive "|<" kom her |
mysql_query("INSERT INTO bla bla bla

For at se om det var noget man umiddelbart kunne udnytte tastede jeg:
|echo /home/bruhn/sysinfo.php

Der blev det hele bare sat ind i databasen og vist som alm. tekst.

Regards Ghashûl
--
http://ghashul.dk/

"I demand the right to keep and arm bears"
"A computer without Windows, is like a fish without a bicycle"

---

On Wed, 25 Apr 2001 10:32:47 +0200, Ghashûl wrote:


Hej

> $input = addslashes(strip_tags($input));

Det er såvidt jeg kan se din strip_tags() der tror at alting efter (og
inkluvsive "<" er et html-tag, og derfor forsøger den at fjerne det.

--
Søren O.

There are no stupid questions, only inquisitive idiots

---

On 25 Apr 2001 09:27:15 GMT, boll@fw1.dk (Søren Boll Overgaard) wrote:

>> $input = addslashes(strip_tags($input));
>
>Det er såvidt jeg kan se din strip_tags() der tror at alting efter (og
>inkluvsive "<" er et html-tag, og derfor forsøger den at fjerne det.

doh, ja det virker jo logisk nok egentligt...

Er der nogen smart måde at gøre det på?

Jeg kan selvfølgelig bare bruge htmlentities men så kommer det til at
stå og se grimt ud.

Regards Ghashûl
--
http://ghashul.dk/

"I demand the right to keep and arm bears"
"A computer without Windows, is like a fish without a bicycle"

---

On Wed, 25 Apr 2001 11:34:29 +0200, Ghashûl wrote:
>>Det er såvidt jeg kan se din strip_tags() der tror at alting efter (og
>>inkluvsive "<" er et html-tag, og derfor forsøger den at fjerne det.
>
> doh, ja det virker jo logisk nok egentligt...
>
> Er der nogen smart måde at gøre det på?

htmlspecialchars() ?

--
Søren O.

Bedøm din edbforhandler på http://edbforhandlere.dk/

---

On 25 Apr 2001 09:48:38 GMT, boll@fw1.dk (Søren Boll Overgaard) wrote:

>> Er der nogen smart måde at gøre det på?
>
>htmlspecialchars() ?

Er den ikke bare et alias for htmlentities() ?
Det må vel være den jeg bliver nødt til at bruge...

Regards Ghashûl
--
http://ghashul.dk/

"I demand the right to keep and arm bears"
"A computer without Windows, is like a fish without a bicycle"

---

On Wed, 25 Apr 2001 11:58:27 +0200, Ghashûl wrote:
> On 25 Apr 2001 09:48:38 GMT, boll@fw1.dk (Søren Boll Overgaard) wrote:
>
>>> Er der nogen smart måde at gøre det på?
>>
>>htmlspecialchars() ?
>
> Er den ikke bare et alias for htmlentities() ?

This function is identical to htmlspecialchars() in all ways, except that
all characters which have
HTML character entity equivalents are translated
into these entities. Like htmlspecialchars(), it
takes an optional second argument which
indicates what should be done with single and double
quotes. ENT_COMPAT (the default) will only
convert double-quotes and leave single-quotes alone.
ENT_QUOTES will convert both double and single
quotes, and ENT_NOQUOTES will leave both double
and single quotes unconverted.

--
Søren O.

If idiots could fly, IRC would be an airport