#11 2010.08.07 18:43

Gemorroj
Administrator
Откуда: Белоруссия
Зарегистрирован: 2007.11.03
Сообщений: 6593
Карма: 107
Профиль Веб-сайт

Re: OnLine

Комментарий номер 6

Неактивен

#12 2010.08.07 18:46

@Office
Участник
Откуда: Лесосибирск/Красноярский край
Зарегистрирован: 2010.02.17
Сообщений: 38
Карма: 0
Профиль

Re: OnLine

Что тут некорректно?
public function utf ($str) {
    return htmlspecialchars($str, ENT_QUOTES);
}

mysql_result($sql, $this->_link, $value); - снес функцию.

return mysql_real_escape_string(trim($str));
почему не используется ресурс соединения с БД?

Исправлено.

Еще не корректно?


tongue

Неактивен

#13 2010.08.07 19:03

Gemorroj
Administrator
Откуда: Белоруссия
Зарегистрирован: 2007.11.03
Сообщений: 6593
Карма: 107
Профиль Веб-сайт

Re: OnLine

почему htmlspecialchars называется utf? тем более что ты там даже не указываешь кодировку для htmlspecialchars и по умолчанию она ISO-какая-то там.
mysql_result - посмотри синтаксис этой функции и сравни с тем, что ты ей передаешь
ну и повсюду sql injection проходит. твой htmlspecialchars/utf никак не защищает тебя от sql injection, тебя защитит только mysql_real_escape_string
перед занесением данных в БД обрабатывать их с помощью htmlspecialchars не нужно. htmlspecialchars применяется перед самым выводом данных пользователю. т.е. в echo, print и т.п. (для простоты понимания)

Неактивен

#14 2010.08.07 19:10

@Office
Участник
Откуда: Лесосибирск/Красноярский край
Зарегистрирован: 2010.02.17
Сообщений: 38
Карма: 0
Профиль

Re: OnLine

А название играет роли? О_о
Потому что я так превык, называть функцию utf.

mysql_real_escape_string использую при записи в БД, а при выводе: "htmlspecialchars".

Я не заношу в бд фильтруя htmlspecialchars()

ENT_QUOTES экранирует ковычки, sql inj не прокатит smile
Добавлено спустя   5 минут  46 секунд:
Кхмм.. если ты про фильтрацию USERAGENTA то убрал smile

Отредактировано @Office (2010.08.07 19:11)


tongue

Неактивен

#15 2010.08.07 20:07

Gemorroj
Administrator
Откуда: Белоруссия
Зарегистрирован: 2007.11.03
Сообщений: 6593
Карма: 107
Профиль Веб-сайт

Re: OnLine

@Office, а нулл байты или обратные слеши он фильтрует? экранируй с помощью mysql_real_escape_string и не выдумывай велосипедов
стандартизация кода это очень важный момент, если ты привык к utf, то это не значит что это правильно и так делать надо. нарушая стандарты кодирования, ты тем самым гробишь проект в плане расширяемости. во многих конторах код не считается принятым пока полностью не прокомментирван и оформлен в соответствии со стандартами.

Неактивен

#16 2010.08.07 20:30

tipsun
Moderator
Зарегистрирован: 2009.10.14
Сообщений: 2277
Карма: 19
Профиль

Re: OnLine

Геморрой, для тебя конечно код простой big_smile (в рифму получилось)
Автор счетчика, не точный он у тебя будет с переходами, скорее всего...
Добавлено спустя   4 минуты  18 секунд:
Потому, что после 3х минут юзер с базы удаляется, отсюда следует и неточность. Вдруг он подаст признак присутствия на сайте после 3х минут, а его переходы уже по-новой будут считаться...

Отредактировано tipsun (2010.08.07 20:43)

Неактивен

#17 2010.08.07 22:19

@Office
Участник
Откуда: Лесосибирск/Красноярский край
Зарегистрирован: 2010.02.17
Сообщений: 38
Карма: 0
Профиль

Re: OnLine

tipsun, внимательно код смотри, не удаляются записи.
Если он вдруг зайдет, переходы будут продолжаться.

Gemorojj, Т.е ты хочешь сказать при выводе mysql_real_escape_string использовать? О_о
Я при записи, использую его, а при выводе htmlspecialchars, а насчет utf(), у тебя есть более наилучший вариант названия функции?
Покажи, может превыкну к нему. Незнаю, как только ознакомился с функциями, начал юзать utf..

Отредактировано @Office (2010.08.07 22:19)


tongue

Неактивен

#18 2010.08.07 22:30

tipsun
Moderator
Зарегистрирован: 2009.10.14
Сообщений: 2277
Карма: 19
Профиль

Re: OnLine

Автор счетчика, извиняюсь. Увидел smile посчитать всех, у кого время больше лимита, таким же запросом и выводим... Мда, всё продуманно...

Неактивен

#19 2010.08.07 22:59

Gemorroj
Administrator
Откуда: Белоруссия
Зарегистрирован: 2007.11.03
Сообщений: 6593
Карма: 107
Профиль Веб-сайт

Re: OnLine

@Office написал:

Т.е ты хочешь сказать при выводе mysql_real_escape_string использовать?

совсем нет, где я такое говорил?
Я бы лично htmlspecialchars вообще не выделял в отдельный метод.

Неактивен

#20 2010.08.07 23:24

@Office
Участник
Откуда: Лесосибирск/Красноярский край
Зарегистрирован: 2010.02.17
Сообщений: 38
Карма: 0
Профиль

Re: OnLine

Хз, геморой. Привык делать так, не считаю ошибкой smile
Всеравно, спасибо за совет.

Gemor, еще вопрос, стоило ли тут использовать такое мего OOP? :-D

Отредактировано @Office (2010.08.07 23:25)


tongue

Неактивен

Дополнительно

forum.wapinet.ru

PunBB Mod v0.6.2
0.012 s