1. дома
  2. Вопрос и ответ
  3. надлежащим образом Функция обрезки

надлежащим образом Функция обрезки

2016-04-13 3 views
0

Хорошо, я новичок и не могу понять, где разместить функцию обрезки кода, созданного разработчиком для клиента. Текущая форма помещает «\» перед любым апострофом, и я имею googled решения и попытался разместить функции в файле, но все, что я делаю, нарушает форму клиента. Любая помощь приветствуется.надлежащим образом Функция обрезки

Текущая структура:

$dd_description = $_POST['dd_description'];

и страница обзора формы:

Description:<strong> '. $dd_description .'</strong><br />

я просто не могу, куда поместить «облицовку»

источник

2016-04-13 Greg Lang

+0

Не знаете точно, как вы имеете в виду, но вы можете попробовать что-то вроде 'str_replace ('\', '', $ dd_description)' для удаления '\'. Похоже, что он прошел через функцию, которая ускользает от выхода. Вероятно, вы должны быть осторожны, как вы их удаляете, чтобы не печатать пользовательский ввод на свою страницу, хотя это может привести к уязвимости XSS. – Mikey

+0

Это было разработано другим человеком для клиента. Теперь я немного склонен к своей голове, но я посмотрю на это, чтобы увидеть, есть ли у вас что-то с уязвимостями. Спасибо! –

ответ

0

Простое указание того, что переменные POST не отображались на веб-странице пользователя, НЕ рекомендуется по соображениям безопасности.

Вы пытаетесь добавить stripslashes() в код?

Description:<strong> '. stripslashes($dd_description) .'</strong><br />

Я рекомендовал бы обеспечить входные данные в дальнейшем, возможно, обернуть strip_tags вокруг него также, по крайней мере.

источник

2016-04-13 14:32:30 RefreshCarts

+0

Спасибо. Опять же, так просто. Я пробовал глобальную функцию striplashes, но она не работала. Не слишком много полей, чтобы добавить это тоже, и все работает отлично. Я знал, что это должно быть простое исправление, но я все еще новичок в тонких изменениях и смущаю его излишними цитатами и скобками. –

+0

Хорошо, может быть, стоит сделать что-то подобное в таком случае. [код] foreach ($ _ POST as $ key => $ val) { $ _POST [($ key)] = stripslashes ($ val); } [/ code] – RefreshCarts

+0

Я пробовал это раньше, но это не сработало. Я, скорее всего, не поставил функцию в нужное место. Что касается комментария «НЕ рекомендуется», я знаю, что эта форма была создана разработчиком для клиента. Я сейчас принимаю участие, но не настолько квалифицирован. Я обязательно рассмотрю это, чтобы гарантировать, что нет никакой проблемы с тем, как она была изначально построена. Это происходит через файл functions.php за кулисами. –

0

Авто выделяющегося апостроф предполагает, что Magic Quotes включен. Here's how to disable Magic Quotes.

Magic Quotes может защищать ваши SQL-запросы от SQL Injection, поэтому необходимо провести надлежащее исследование того, почему это необходимо. Если это так, то рекомендуется преобразовать код в подготовленные операторы, которые не требуют обработки строк для SQL Injection.

источник

2016-04-13 14:32:20 MrCode

Смежные вопросы

 Смежные вопросы