/ Forside / Teknologi / Udvikling / PHP / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
PHP
#NavnPoint
rfh 3959
natmaden 3372
poul_from 3310
funbreak 2700
stone47 2230
Jin2k 1960
Angband 1743
Bjerner 1249
refi 1185
10  Interkril.. 1146
Sikker php...
Fra : Dennis Munding


Dato : 19-05-05 10:29

Hej NG!

Jeg har langt om længe fået min kalender til at virke, som den skal, men er
der et nyt spørgsmål, som presser sig på....

Jeg kan ud fra de indlæg jeg har læst, se at man "taler" meget om sikkerhed
i php/mysql.

I min kalender er der 3 brugere, som kan indsætte data - 2 arbejdsgivere og
jeg selv - det hele foregår via en form, hvor det eneste felt, man rent
faktisk kan skrive i er tekst-feltet.

Er der noget her jeg skal være særligt opmærksom på m.h.t. indsættelse af
data?
Og hvad kan jeg evt. gøre for at sikre at inputtet ikke ødelægger min
database??

Jeg er newbie og har ikke helt forstået de tråde, der har været om emnet...
:-/

På forhånd tak for svar!


Med venlig hilsen
--
Dennis Munding
Web-master
http://www.skovaa-munding.dk/
http://www.mundings-memorial.dk/
http://www.cantica.dk/



 
 
Johan Holst Nielsen (19-05-2005)
Kommentar
Fra : Johan Holst Nielsen


Dato : 19-05-05 10:40

Dennis Munding wrote:
> Hej NG!
>
> Jeg har langt om længe fået min kalender til at virke, som den skal, men er
> der et nyt spørgsmål, som presser sig på....
>
> Jeg kan ud fra de indlæg jeg har læst, se at man "taler" meget om sikkerhed
> i php/mysql.
>
> I min kalender er der 3 brugere, som kan indsætte data - 2 arbejdsgivere og
> jeg selv - det hele foregår via en form, hvor det eneste felt, man rent
> faktisk kan skrive i er tekst-feltet.
>
> Er der noget her jeg skal være særligt opmærksom på m.h.t. indsættelse af
> data?
> Og hvad kan jeg evt. gøre for at sikre at inputtet ikke ødelægger min
> database??
>
> Jeg er newbie og har ikke helt forstået de tråde, der har været om emnet...
> :-/


Du skal i hvert fald kigge på:
http://php.net/mysql_real_escape_string
Som hjælper dig en del med de data du sender til databasen :)

Ellers husk at tjekke om input er som de skal være - men
mysql_real_escape_string() er det enest du reelt behøver, hvis der kun
er tale om tekstfelter som sendes til databasen. (Der kan være andre
ting rent auth mæssigt på brugerne osv - men kender ikke din kode så
indadgående ;)).

mvh
Johan

Christian Joergensen (20-05-2005)
Kommentar
Fra : Christian Joergensen


Dato : 20-05-05 01:35

"Dennis Munding" <mail@invalid.com> writes:

> Er der noget her jeg skal være særligt opmærksom på m.h.t. indsættelse af
> data?
> Og hvad kan jeg evt. gøre for at sikre at inputtet ikke ødelægger min
> database??

Udover at inddata ikke maa oedelaegge din database (som selvfoelgelig er det
primaere at beskytte sig mod), kan du ogsaa risikere at der er boeller der
laver noget med kalder Cross Site Scripting (XSS - da CSS var optaget :P):

http://en.wikipedia.org/wiki/XSS

Det er egentlig blot et spoergsmaal om at bruge htmlentities() eller
strip_tags() afhaengig af din politik. Personlig holder jeg mest af
htmlentities() da boelletingene saa stadig vil blive skrevet ud og man lader
boellerne fremstaa som de taaber de er :)

--
Christian Jørgensen | Pity the poor egg: it only gets laid once.
http://www.razor.dk |

Dennis Munding (20-05-2005)
Kommentar
Fra : Dennis Munding


Dato : 20-05-05 09:38

Hej Christian og Johan!
"Christian Joergensen" <mail@razor.dk> skrev i en meddelelse
news:87fywivioj.fsf@roevguitar.razor...
> Udover at inddata ikke maa oedelaegge din database (som selvfoelgelig er
det
> primaere at beskytte sig mod), kan du ogsaa risikere at der er boeller der
> laver noget med kalder Cross Site Scripting (XSS - da CSS var optaget :P):
>
> http://en.wikipedia.org/wiki/XSS
>
> Det er egentlig blot et spoergsmaal om at bruge htmlentities() eller
> strip_tags() afhaengig af din politik. Personlig holder jeg mest af
> htmlentities() da boelletingene saa stadig vil blive skrevet ud og man
lader
> boellerne fremstaa som de taaber de er :)
>
"Johan Holst Nielsen" <spam@phpgeek.dk> skrev i en meddelelse
news:428c5e75$0$79460$14726298@news.sunsite.dk...
> Du skal i hvert fald kigge på:
> http://php.net/mysql_real_escape_string
> Som hjælper dig en del med de data du sender til databasen :)
>
> Ellers husk at tjekke om input er som de skal være - men
> mysql_real_escape_string() er det enest du reelt behøver, hvis der kun
> er tale om tekstfelter som sendes til databasen. (Der kan være andre
> ting rent auth mæssigt på brugerne osv - men kender ikke din kode så
> indadgående ;)).

Og her kommer så 1000$-spørgsmålet til jer begge:

Hvor skal jeg indsætte de "værktøjer", som I nævner?
Problemet er nemlig, at jeg ikke fatter ret meget af, hvad der står på
sider, der er skrevet på engelsk... :-/

Hvis det kan hjælpe til besvarelsen af mit spørgsmål, så ligger mine koder
på pastebin.dk:

http://www.pastebin.dk/index.php?show=598

http://www.pastebin.dk/index.php?show=599


På forhånd tak for hjælpen!


Med venlig hilsen
--
Dennis Munding
Web-master
http://www.skovaa-munding.dk/
http://www.mundings-memorial.dk/
http://www.cantica.dk/



Søg
Reklame
Statistik
Spørgsmål : 177552
Tips : 31968
Nyheder : 719565
Indlæg : 6408847
Brugere : 218887

Månedens bedste
Årets bedste
Sidste års bedste