問題タブ [stripslashes]

次のように、ユーザーに名前を入力してもらいますO'riley。

このデータをMySQLDBに入力する前に、を実行しますmysql_real_escape_string。

問題は、このデータを選択して後で表示して使用すると、次のように表示されることですO\'riley。

明らかに、これは意図された操作です。私が疑問に思っているのは、それをDBに保存できるかどうか（悪意のあるコードを安全に回避できるかどうか）です。これによりstrip_slashes()、Web全体でデータを呼び出すたびに出力で使用する必要がなくなります。アプリ？または、私はここで何かが欠けていますか？

ありがとう。

更新 Decezeの回答のコメントを参照してください。

I have a mysql result array and I'm trying to stripslashes on the array using array_walk. It's not stripping slashes from mysql. It is working on the array I manually added ($dataArr['xxx']) though.

Here is my code:

重複の可能性:
mysql インジェクションとクロス サイト スクリプティングを防御する最善の方法
mysql 挿入ステートメント内に PHP 変数を含める方法

パスワード フィールドからテキストを取得するときに、 stripslashesステートメントに出くわした人がいるかどうか、また、そのような場合に SQL インジェクションを実行する方法があるかどうか疑問に思っていました。

つまり、PHP 言語では、Web サイトのパスワード フィールドからテキストを取得し、それを stripslashes ステートメントに渡して (') を削除すると、( ' OR 1=1 --) が ( ) になりOR 1=1ます。また、SQL インジェクションを実行しにくくします。

ページに表示するために MySQL テーブルからデータを取得しています。スクリプトは情報を表示していますが、私の表では通常の引用符が別のタイプの引用符として挿入されています。( ’ )Microsoft Word 2010 で何かを入力すると( “ ” )、このように自動的に書式設定されます。Microsoft Word 2010 は、表のほとんどのエントリを入力するために使用されていました。だから私の推測では、それらは特殊文字です。しかし、実際の一重引用符を含むフィールドの表示をテストする( ' )と( " " )、mysql_fetch_row を受け取るたびに、パラメーター 1 がリソースであると見なされ、ブール値が指定されたエラーが発生します。これは私が使用するコードです:

しかし、この行を使用するたび に、実際の引用符$fields = mysql_real_escape_string(stripslashes($fields));を 含むフィールドが表示されますが、引用符の前にスラッシュが付いています。誰かがこれに対する解決策を見つけるのを手伝ってくれますか?

学生が基本的な HTML、CSS、および JavaScript を学習できるように、CodeMirrorを使用して単純な Web ベースのコード エディターをセットアップしています。

学生が自分のコードを保存できるようにしたいので、スタンドアローンのブラウザー ウィンドウに表示され、友人や家族と共有して自分の作品を披露することができます (例: mydomain.com/users/ their-ユーザー名/test.html)。

現在、次の PHP を使用していますが、私の使用$contentはまったく安全ではないことがわかっています。

ほとんどの場合$content、安全な HTML、CSS、または JavaScript のよう<p>My name is Mark</p>にする必要があります。

コードを安全に保存して表示する方法について何か提案はありますか? 各ユーザーのフォルダーを他のユーザー フォルダーや Web サイトの残りの部分から隔離/サンドボックス化する方法はありますか?

おそらくこれを行うための安全な方法はなく、信頼できない人がコードをサーバーに保存することを許可するべきではありませんが、これを行うための安全な方法があれば...それはこのプロジェクトにとって素晴らしいことです! そうでない場合は、別の方法を考えます。

あなたが提供できる助けや洞察をありがとう！-マーク

不適切に変換されたヘブライ語 PDF を処理するために、HTML ドキュメント内のテキストを反転する PHP スクリプトを作成しています。（はぁ ：））

すべてが機能しますが、スクリプトの出力は非常に奇妙です。一部の文字のみが、ヘブライ文字のままではなく、空白の文字 (疑問符の付いた黒いひし形) に変わります。

SO以降で見つけることができるいくつかの解決策を試しましたが、何も変わりませんでした。おそらくあなたは私を啓発することができますか？

スクリプトの動作は pilau.phpnet.us/html_invert.php で確認できます。これがソース コード全体です。

私は魔法の引用符を使い始めましたが、小さな問題に遭遇しました。簡単な問題で、理解できないと思います。

テキストエリアに何かを書き込んだときに削除されないストリップラッシュは使用しません

コード：

私も実際に動作するこれを試しました！：

しかし今、私はセキュリティ上の理由でウェブサイトに私の入力を使用したいと思います

Symfony2 (つまり、Symfony 1.x ではない)で小さな Web サイトを構築しています。CLI ジェネレーターを使用して作成されたエンティティから、既定の CRUD ジェネレーターを使用しました。ただし、データベースに保存するときは、スラッシュをエスケープして保存しています。

それを止めるのに適切な場所はどこですか？エンティティ、レポジトリ、コントローラ、またはフォームで? それを行うための魔法の機能はありますか？

私のコードでは、PHPに変数をテキストファイルに書き込んでもらいます。

変数$contentにはこれが含まれます<img src="bpictures/blue.jpg" width="200" />

ただし、変数がテキストファイルに書き込まれると、これがテキストファイルに書き込まれます。

また、htmlに戻されたときに画像が機能しなくなります。使用してみecho stripslashes($content);ましたが、うまくいきません。変数にあるストレートコードだけをテキストファイルに書き込む方法はありますか？Googleで答えが見つかりません。

コンテンツの作成方法。

送信時。

コードにはまだまだたくさんのことがありますが、ほとんどの場合、これがコンテンツに影響を与えるすべてです。

ここに私の最初の質問を投稿できることをとてもうれしく思います:-)

URL短縮/リダイレクトサービスを実行しています.PHPで書かれています. サービス内で有効な URL データを可能な限り保存および処理することを目指しています。

時々、無効な URL データがデータベースに処理され、無効な文字 (URL の末尾または先頭のスペースなど) が保持されていることに気付きました。

URL チェック メカニズムで値をトリム、ストリップスラッシュ、strip_tags にしてから保存することにしました。

私が考える限り、これらの関数は、URL に含まれている可能性のある有効なチャーターを削除しません。

親切に、私が間違った方向に進んでいる場合は、私を修正するか、アドバイスしてください.

よろしく..