login  Naam:   Wachtwoord: 
Registreer je!
 Forum

String Echoen (Opgelost)

Offline delta_004 - 15/12/2007 11:50
Avatar van delta_004Onbekend Hallo

Ik gebruik dit scriptje om sql injections tegen te gaan
  1. <?php
  2. function in ($input)
  3. {
  4. return htmlspecialchars(addslashes($input),ENT_QUOTES);
  5. }
  6. function uit ($input)
  7. {
  8. return nl2br(stripslashes($input));
  9. }
  10. ?>

7 antwoorden

Gesponsorde links
Offline Giant - 15/12/2007 11:53
Avatar van Giant PHP beginner en wat is daar nu verder mee?
Offline delta_004 - 15/12/2007 11:59
Avatar van delta_004 Onbekend Sorry kon mijn bericht niet wijzigen:P

Maar kijk heah als ik nu die functie uit gebruik krijg ik uiteindelijk:
<font color="Green">Tekst</font>

Maar hij weergeeft dan letterlijk de html en voert het niet uit
Offline GTW - 15/12/2007 12:01
Avatar van GTW Gouden medaille

PHP gevorderde
http://nl2.php....decode.php

met deze functie kun je de &gt;'s enz omzetten naar "echte" html
Offline Sitebase - 15/12/2007 13:21
Avatar van Sitebase PHP expert Als je een decode gaat gebruiken dan kan je beter ineens htmlspecialchars uit je in filter gooien want dit heeft geen enkel nut meer dan. Dat zou het zelfde zijn alsof je

  1. echo (5 - 1) + 1;


gaat doen .
Offline GTW - 15/12/2007 13:33
Avatar van GTW Gouden medaille

PHP gevorderde
nee hoor, htmlspecialchars enz zijn vooral tegen sql infection. als je het uit de database als HTML wilt tonen, zul je het dus weer moeten decoden...
Offline Wim - 15/12/2007 13:50
Avatar van Wim Crew algemeen waarom doe je trouwens niet gewoon mysql_real_escape_string()? Is imo 100x makkelijker (je voegt het toe met mysql_real_escape_string() (voorkomt sql injecties), en je echo'ed het nadien gewoon. Maximum nog een stripslashes maar die heb ik zelf nooit moeten gebruiken :x)
Offline Sitebase - 15/12/2007 15:00
Avatar van Sitebase PHP expert
GTW schreef:
nee hoor, htmlspecialchars enz zijn vooral tegen sql infection. als je het uit de database als HTML wilt tonen, zul je het dus weer moeten decoden...


htmlspecialchars heeft geen **** met sql injection te maken. Het kan wel gebruikt worden tegen XSS. Normaal gebruik je tegen sql injection zoals wimmarien al zei mysql_real_escape_string.
Gesponsorde links
Dit onderwerp is gesloten.
Actieve forumberichten
© 2002-2024 Sitemasters.be - Regels - Laadtijd: 0.183s