|
ru.cgi.perl
- RU.CGI.PERL ------------------------------------------------------------------
From : Artem Chuprina 2:5020/400 16 Jul 2002 19:23:55
To : Timur Tekayev
Subject : Re: обработка данных из формы
--------------------------------------------------------------------------------
Здравствуй, Timur Tekayev.
TT> Есть гостевая, форум или что-то вроде них, вообщем, скрипт, в котором
TT> имеется форма с textfield, заполняемая пользователем произвольно. Я
TT> подошел к чтению данных из нее следующим образом:
TT> my $Reply = $q->param('reply');
TT> $Reply = escapeHTML($Reply);
TT> $Reply =~ s/\\/\\\\/g;
TT> $Reply =~ s/'/\\'/g;
TT> ну и т.п. по своему усмотрению. Потом уже обновляю/заношу данные в
TT> mySQL.
TT> Вопрос мой таков. Все ли я правильно делаю? или есть еще какие-то
TT> моменты, которые могут помешать заапдейтить данные в таблице (или же
TT> помочь хакеру накуролесить в БД).
Есть. Вместо того, чтобы воспользоваться placeholder'ами DBI ты пытаешься
экранировать апострофы самостоятельно, и делаешь это неправильно. Что
оставляет некоторые возможности. Так, сколь я помню, мыскль умеет несколько
разных гитик на предмет таких вот разделителей, в духе того, что там можно
заменять апострофы на двойные кавычки. При этом quote из DBD::mysql об этом
заведомо в курсе.
TT> И еще....человек пишет http://www.myurl.ru/dir/dir1/script.cgi ,
TT> хотелось бы правильно (!) заменять все это на <a href>...</a> .
TT> У кого есть богатый опыт в подобных делах - подсобите :-)
Модуль на это есть. Что-то типа URI::Find.
--
Artem Chuprina
Communiware.net
RFC2822: <ran@ran.pp.ru>, FIDO: 2:5020/358.49, ICQ: 13038757
--- ifmail v.2.15dev5
* Origin: Leninsky 45 home network (2:5020/400)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
