Я создаю сайт для обзора, который позволит пользователям отправлять отзывы, которые будут храниться в базе данных MySQL. Отзывы будут рассмотрены мной вручную для контента, а затем отображены на моем сайте. Вот моя пользовательская функция для очистки данных (каждый элемент на форме передается этой функции):Мнение о безопасности моей формы submit/display
function cleanDataForDB($data) {
$data = trim(htmlentities(strip_tags($data)));
if (get_magic_quotes_gpc())
$data = stripslashes($data);
$data = mysql_real_escape_string($data);
return $data;
}
Я не написал скрипт для отображения отзывов, как только они были утверждены но я планировал просто передать все поля из моей таблицы MySQL через функцию html_entity_decode() и записать их в HTML моей страницы.
Кто-нибудь видит какие-либо очевидные дыры в безопасности в этом плане? Мне кажется, это очень безопасно, но это первый сайт, который я создал, который позволяет данные, передаваемые пользователем, поэтому я хочу быть уверенным, что я не оставлю себя уязвимым.
Спасибо!
Коррекция магических кавычек должна выполняться один раз и в центральном месте. См. Руководство для чего-то типа `if (get_magic_quotes_gpc()) {$ _POST = array_map (" stripslashes ", $ _POST); $ _GET ...} ` – mario 2010-11-24 00:42:06