позволяет представить редактор форм, он может редактировать доступные значения. Если данные содержат " символ (двойная кавычка), он« разрушает »HTML-код. Я имел в виду, пусть проверяет код: поэтому я генерирую HTML: onclick="var a = prompt('New value: ', '<?php echo addslashes($rec[$i]); ?>'); if (a != null)…. и это приводит к onclick="var a = prompt('New value: ', 'aaaa\"aaa'); […]
В моем веб-приложении пользователи могут вводить текстовые данные. Эти данные могут быть показаны другим пользователям, и исходный автор может также вернуться и редактировать свои данные. Я ищу правильный способ безопасного избежать этих данных. Я использую только салфетки sql, так что все хранится по мере их чтения. Предположим, у меня есть «déjà vu» в базе данных. […]
Некоторые люди считают, что mysql_real_escape_string() имеет некоторые недостатки и не может защитить ваш запрос даже при правильном использовании. Приведение некоторых окаменелых статей в качестве доказательства. Итак, возникает вопрос: mysql [i] _real escape_string () абсолютно неприемлем? Или еще можно использовать эту функцию для создания ваших собственных подготовленных заявлений? С пробным кодом, пожалуйста.
Я попытался добавить этот текст в базу данных MySQL с помощью PHP и метода $ _POST: HTML: <form name="addBook" action="?action=save" method="post" enctype="multipart/form-data"> <table> <tr> <td>Boek naam</td> <td><input type='text' name='book_name' required></td> </tr> <tr> <td>Genre</td> <td><input type='text' name='book_genre' required></td> </tr> <tr> <td>Cover</td> <td><input type='file' name='cover' id='cover'></td> </tr> <tr> <td>Text</td> <td><textarea cols='50' rows='20' name='book_text'>Schrijf hier</textarea></td> </tr> <tr> <td […]
На более старом сервере я использую то, что я не могу использовать подготовленные инструкции, я в настоящее время пытаюсь полностью избежать ввода пользователя перед отправкой его в MySQL. Для этого я использую функцию PHP mysql_real_escape_string . Поскольку эта функция не ускользает от подстановочных символов MySQL% и _, я использую addcslashes чтобы избежать их. Когда я […]
Мне сказали, что мне лучше использовать PDO для MySQL escaping, а не mysql_real_escape_string . Может быть, у меня день мозговой смерти (или это может быть тот факт, что я не охвачен воображением естественным программистом, и я все еще очень на стадии новичка, когда речь заходит о PHP), но имея проверил руководство по PHP и прочитал […]
Потратил некоторое время на устранение неполадок, при которых у веб-приложения PHP / MySQL возникли проблемы с подключением к базе данных. Доступ к базе данных можно получить из оболочки и phpMyAdmin с теми же учетными данными, и это не имело смысла. Оказывается, пароль имеет знак $: $_DB["password"] = "mypas$word"; Отправляемый пароль был «mypas», что, очевидно, неверно. […]
Я просто написал регулярное выражение для использования с php-функцией preg_match которая содержит следующую часть: [\w-.] Чтобы соответствовать любому символу слова, а также знаку минуса и точке. Хотя он работает в preg_match, я попытался включить его в утилиту Reggy, и он жалуется на «Empty range in char class» . Судебное разбирательство и ошибка научили меня, что […]
Так это то, о чем мы все должны знать, и играли на уме, когда я впервые увидел это. Я знаю, что mysql_escape_string устарел от 5.3, но какова была фактическая разница в mysql_real_escape_string . Я думал, что mysql_real_escape_string точно такой же, как mysql_escape_string кроме mysql_real_escape_string принимает второй аргумент для ресурса mysql. так что я подумал, что […]
ситуация Я хочу использовать preg_replace() чтобы добавить цифру '8' после каждого из [aeiou] . пример из abcdefghij в a8bcde8fghi8j Вопрос Как написать строку замены? // input string $in = 'abcdefghij'; // this obviously won't work ———-↓ $out = preg_replace( '/([aeiou])/', '\18', $in); Это просто пример , поэтому предложение str_replace() не является допустимым ответом. Я хочу […]