PHP - bazy danych - książka telefoniczna - zabezpieczenie

DZIAŁANIE:

PRZED: PO:

Kod:

brak kodu :-)

Ewentualne Objaśnienia:

Tutaj chciałem przypomnieć aby każdy zdawał sobie z tego sprawę, że w naszej bazie na przykład poprzez jakiś formularz, który udostępniamy klientom, czy jakąś stronę do dodawania na przykład artykułów, może zostać dodany jakiś kod JavaScript lub inny który wiadomo, może wyrządzić różne szkody.

I tutaj zrobiłem przykład - dodałem do naszej bazy poprzez phpmyadmin jeden wpis gdzie w polu nazwiska wpisałem prosty skrypt JS wywołujący alert.

Na jednym z rysunków wyżej widać tego efekt.

Następnie dodałem znaną już wam doskonale funkcję htmlspecialchars do zmiennej $nazwisko czyli : $nazwisko = htmlspecialchars($rekord['nazwisko']); - dzięki czemu, jak już widać na 2 rysunku kod JS został zignorowany. Generalnie powinnyśmy tę funkcję dodać do każdej zmiennej, która odczytuje dane z bazy.

Warto o tym pamiętać, chociaż często jest tak, że chcemy aby w jakimś formularzu znaczniki HTML na przykład pogrubienie (<b></b>) były respektowane.

To tyle tytułem przypomnienia o tym - jeszcze do tego problemu wrócimy !

P.S. --> pewnie się zastanawiacie dlaczego na screenach nazwiska są pokazane jako linki, odpowiedz : nie zwracajcie teraz na to uwagi jest to potrzebne do następnego przykładu !!