19 января 2010 в 20:58
Добрый вечер.
Беру переменную из $_POST ... как корректно и безопасно проверить её перед записыванием в базу?
Если средствами php то хватит ли
1. перевода в стринг
$name1=$_POST['taxonomy']['tags']['1'];
$name=(string)$name;
2. плюс потом
strip_tags
htmlspecialchars
Содержимое сайта публикуется на условиях CreativeCommons Attribution-ShareAlike 3.0 или более поздней версии. Программные коды в тексте статей — на условиях GNU GPL v2 или более поздней версии.
Документация по совместной работе с репозиторием drupal.ru – https://docs.drupal.ru/code
Drupal – торговая марка Дриса Бёйтарта
Поддерживать инфраструктуру Drupal.ru нам помогает компания ДАЛЕЕ
Комментарии
В друпале целая куча специальных функций, начиная от check_plain() и заканчивая filter_xss(), и даже по этой теме есть статьи, так как вы лентяй, то вот вам ссылка http://drupaldance.com/lessons/secure-code-database-layer
уже и не отредактировать ашипки
вот такая очистка приходящих в посте переменных для безопасности достаточна?
$name1=$_POST['taxonomy']['tags']['1'];
$name1=(string)$name1;
$name1=htmlspecialchars(trim(strip_tags ($name1)));
спасибо на добром слове
как я понял, для простого текста из формы, без разметки достаточным для очистки являяется check_plain ?
в базу надо писать данные "как есть", проверять на выводе.
Вы не понимаете идеологию Drupal
Вам бы документацию почитать.
начните с from api
>Вам бы документацию почитать
вот эту?
http://api.drupal.org/api/drupal/developer--topics--forms_api_reference....
вот послали так послали
>Вы не понимаете идеологию Drupal
местами да, не особо проникся ... собственно ...
пытаюсь сделать более удобное заполнение новости, чуток автоматизировав процесс заполнения,
используя модуль Automatic Nodetitles и опцию Automatically generate the title and hide the title field
в Automatic Nodetitles есть Replacement patterns,
но они не все работают т.к. нужная информация ещё в самой форме
поэтому и приходится брать переменные из формы ...
наверное идейно более правильно брать переменные после обработки формы самим дурпалом,
но тут уже не хватит моей "квалификации" в познаниях пхп со всеми этими новомодными ООП
--------------------------------
собственно вопрос уже закрыт
всё что нужно уже работает
спасибо за помощь
Writing secure code
http://drupal.org/writing-secure-code
Use check_plain or theme('placeholder') for plain text.
Use check_markup or filter_xss for markup containing text.
Use the t() function with @ or % placeholders to construct safe, translatable strings.
+
Drupal Text Filtering Cheat Sheet for Drupal 6
http://drupalscout.com/sites/default/files/article_files/filtering_text_...
+
http://drupal.org/project/striptags_format
http://drupal.org/project/htmLawed
http://drupal.org/project/html2txt
http://drupal.org/project/htmlpurifier