funzioni per l'escape

[Freax]

leggendo il nuovo articolo sulla sicurezza in PHP e MySQL mi sono chiesto se esistono altre funzioni oltre quelle due citate dall'autore per mandare caratteri/comandi speciali in escape ...

PHP
# escapeshellcmd ? (non ho capito molto bene il suo utilizzo pratico ... )

MySQL
# mysql_escape_string() [no escape per % e _ ]
# mysql_real_escape_string

forse mi son perso qualcosa della guida ( ma ho dovuto leggerla in 10 minuti ) cmq ne approfitto anche per chiedere un'alternativa all'accoppiata mysql_escape_string() + str_replace su % e _

[}gu|do[z]{®©]

Originariamente inviato da Freax
leggendo il nuovo articolo sulla sicurezza in PHP e MySQL mi sono chiesto se esistono altre funzioni oltre quelle due citate dall'autore per mandare caratteri/comandi speciali in escape ...

PHP
# escapeshellcmd ? (non ho capito molto bene il suo utilizzo pratico ... )

MySQL
# mysql_escape_string() [no escape per % e _ ]
# mysql_real_escape_string

forse mi son perso qualcosa della guida ( ma ho dovuto leggerla in 10 minuti ) cmq ne approfitto anche per chiedere un'alternativa all'accoppiata mysql_escape_string() + str_replace su % e _

escapeshellcmd dovrebbe servire ad evitare il possibile lancio di comandi di shell se fai l'exec di qualcosa che viene dall'esterno

per mysql.. ti fai una funzionicna personale che chiama le due funzioni native.. e via

[Freax]

Originariamente inviato da }gu|do[z]{®©
escapeshellcmd dovrebbe servire ad evitare il possibile lancio di comandi di shell se fai l'exec di qualcosa che viene dall'esterno

per mysql.. ti fai una funzionicna personale che chiama le due funzioni native.. e via

tipo ? ho capito solo che in una funzione (suppongo void) devo annidare le due funzione native di php e poi ? mi fai un esempio per capire meglio la sintassi ?

[}gu|do[z]{®©]

Originariamente inviato da Freax
tipo ? ho capito solo che in una funzione (suppongo void) devo annidare le due funzione native di php e poi ? mi fai un esempio per capire meglio la sintassi ?

mi sembra chiaro che tu si programmare, probabilmente in C o in Java, ma semplicemente non conosci molto php e cerchi di "tradurre"... beh, mai come nel tuo caso l manuale da tenere a portata di mano
Sai già come fare, ma non sai esattamente come si fa in php...

Comunque, per la cronaca...

function mia_funzione($stringa)
{
$stringa = mysql_escape_string($stringa);
$stringa = str_replace(etc etc );
return $stringa;
}


oi la invochi sempllicemente senza dover ogni volta invocare esplicitamente mysql_escape_string + string_replace

in pratica è una specie di wrapper ^_^

[fmortara]

ma perchè usare mysql_escape_string e non addslashes??

[Freax]

Originariamente inviato da }gu|do[z]{®©


mi sembra chiaro che tu si programmare, probabilmente in C o in Java, ma semplicemente non conosci molto php e cerchi di "tradurre"... beh, mai come nel tuo caso l manuale da tenere a portata di mano
Sai già come fare, ma non sai esattamente come si fa in php...

Comunque, per la cronaca...

function mia_funzione($stringa)
{
$stringa = mysql_escape_string($stringa);
$stringa = str_replace(etc etc );
return $stringa;
}


oi la invochi sempllicemente senza dover ogni volta invocare esplicitamente mysql_escape_string + string_replace

in pratica è una specie di wrapper ^_^

Grazie ,
per quanto riguarda il manuale hai ragione ... ne ho appena preso uno per PHP5 della MC Graw Hill (traduzione dell' O'Reilly) e credo faccia al caso mio ...

Ho chiesto anche perché vedo che chi distribuisce PHP , una release si e una no , si diverte a cambiare qualche funzione e qualche variabile superglobale e non volevo incappare in possibili equivoci ...

Grazie ancora

[}gu|do[z]{®©]

Originariamente inviato da fmortara
ma perchè usare mysql_escape_string e non addslashes??

la prima fa l'escape di tutti (o quasi tutti) i caratteri pericolosi per mysql
la seconda fa l'escape solo per gli apici



penso che nella guida di sicurezza pubblicata su freephp ci sia scirtto qualcosa in più se sei curioso... altrimenti vai di manuale o fidati