Хорошо, я запускаю публичный JSONP API, данные которого подаются с моего PHP-сервера. Я просто прочитал эту статью: JSON: подмножество JavaScript, которое не является (Магнусом Холмом, май 2011 г.) (просьба ознакомиться с разъяснением) В принципе, если мои строки JSON содержат символ U + 2028 (разделитель строк Unicode) или символ U + 2029 (разделитель абзацев Unicode), то […]
Как я мог преобразовать что-то вроде этого: "hi (text here) and (other text)" come (again) К этому: "hi \(text here\) and \(other text\)" come (again) В принципе, я хочу избежать «только» круглых скобок, находящихся внутри кавычек. РЕДАКТИРОВАТЬ Я к новому в Regex, и поэтому я пробовал это: $params = preg_replace('/(\'[^\(]*)[\(]+/', '$1\\\($2', $string); Но это будет […]
Каждый раз, когда выполняется POST, я получаю экранированные символы. \ -> \\ ' -> \' " -> \" У меня многоступенчатая форма, которая передает данные из одной формы в другую. Я сохраняю значения с подготовленными данными в базе данных. Значения в базе данных в настоящее время выглядят как Paul\'s House . Пользователь должен иметь возможность […]
Я делаю MVC в PHP, и мне бы хотелось иметь метод list () внутри моего контроллера, чтобы иметь URL / entity / list / parent_id, чтобы показать все «x», принадлежащие этому родителю. Однако у меня не может быть метода, называемого list (), поскольку это зарезервированное ключевое слово PHP. Например, в VB.Net, если мне нужно что-то […]
Я использую php5.3.6 и mysql 5.1.56 и CodeIgniter. Вот что я сделал. Введите текст в textarea, что-то вроде этого: что это? Я боб. $ string = $ _POST ['name']; $ insertdata = mysql_real_escape_string ($ string); Вставьте $ insertdata в базу данных. Он показывает «что это? \ N \ n \ nI \ 'm bob.» (Без […]
Мы знаем, что для предотвращения проблем с SQL-инъекциями строковые значения должны быть экранированы перед составлением SQL-запроса, особенно для пользователей или других внешних источников. Когда это должно произойти? Должно ли это выполняться по мере того, как значение вводится в программу, сохраняя экранированное значение для последующего использования? Или следует сохранить неэкранированное значение и избежать его, как только […]
При выводе пользовательского ввода вы используете только htmlspecialchars() или есть функции / действия / методы, которые вы также запускаете? Я ищу что-то, что будет иметь дело с XSS. Мне интересно, следует ли мне написать функцию, которая избегает ввода пользователем на выходе или просто использует htmlspecialchars() . Я ищу общие случаи, а не конкретные случаи, которые […]
В PHP (функция темы WordPress, пытаясь добавить html, хранящийся в параметрах темы в заголовок блога), я пытаюсь получить следующую строку: $x="<p>html</p>"; echo $x; Сделать html так же, как: echo "<p>html</p>"; Результаты разные, первый отобразит html-теги, а второй обработает html. Может кому-то помочь. благодаря
Я читаю о безопасности в Интернете, и одна очевидная тема для этого – это инъекции SQL. Я пытаюсь создать базовую php-страницу, где я могу выполнить SQL-инъекцию (ее локальный сервер). Однако, кажется, мой код (или сервер) автоматически ускользает от одиночных кавычек. Это новый стандарт или есть настройки, которые активируются на моем сервере, о которых я не […]
Поэтому я знаю о MySQL-инъекции и всегда избегаю ввода всех моих пользовательских данных перед тем, как поместить их в свою базу данных. Однако мне было интересно, представьте, что пользователь пытается отправить запрос для ввода, и я убегаю. Что делать, если я в последующий момент беру это значение из базы данных и использую его в запросе. […]