[jonssondesign]

Men va i ...

Ursäkta mig, vet inte vart jag fick preg_replace från... Ursäkt!

Använder självklart strip_tags() istället!

Tack!

[DanielN]

Jag tycker sidan ser riktigt bra ut. Jag tycker att sökfunktionen är det viktigaste på en sådan sida och det tycker jag du har lyckats bra med. Det enda är att det kanske inte så snyggt på google med den nuvarande Meta description... Men det är ju lätt fixat.
Ang SEO så vet jag inte hur du har tänkt eftersom "rea plagg" knappt har några sök på google. Dra iväg ett pm om du vill så kan jag kolla mer och tipsa lite.

din meta...
Warning: mysql_connect() [function.mysql-connect]: Access denied ...
reaplagg.se/
... med datbasen. Kontakta administratör på [email protected]: Access denied for user '110375_qz96459'@'192.168.41.65' (using password: YES)

[jonssondesign]

hehe joo jag vet sidan blev hackad för ett tag sen. Det var min 1000 spam kommentarer på varje sida Hade alltså egna kommentarer ett tag.Skulle bara se om jag kunde det där med att flytta databas osv. Sen sket jag i ta bort sidan osv. Sen blev den hackad, eller aa, den slutade visas osv. :P

Så antar att det var därför :P för i kontrollpanelen kan man ändra meta, title osv osv. Så det blev ju så att det blev error i meta taggen haha!

Det är med og:title osv osv, är det något värdefullt att använda?

[nosnaj]

Varför ska ha köra strip tags på söktermen som skickas till databasen?

Däremot all data du skriver ut på sidan som kan komma från inmatade fält bör du escapa.
http://php.net/htmlentities

Eller är jag ute och cyklar på kvällskvisten?

[jonssondesign]

Tror det kan vara bra att använda strip tags också.

jag menar, om du skriver såhär tillexempel:

' ?> <script>lägger in en skadlig kod</script> <?php '

Så blir ju sidan hackad.

Då kan det ju vara bra om man har strip tags också :P

[jonssondesign]

Testade att söka på detta nu: " ?>

Då förstördes queryn. Någon som vet något bra sätt att förhindra detta?

http://reaplagg.se/search.php?search=%22+%3F%3E

[Clarence]

Citat:

Ursprungligen postat av nosnaj

Varför ska ha köra strip tags på söktermen som skickas till databasen?

Däremot all data du skriver ut på sidan som kan komma från inmatade fält bör du escapa.
http://php.net/htmlentities

Eller är jag ute och cyklar på kvällskvisten?

Nej, du tänker rätt. Tyvärr saknar de flesta förståelse för vad de escapar och försöker använda allting, alltid, och får helt plötsligt massa problem så fort de ska göra något utöver det ursprungliga.

Vid input, escapa för mottagaren av datan. D v s MySQL i detta fall. Då använder du helst prepared statements, men också använd mysql_real_escape_string() är "OK".

Vid output, escapa för klienttypen det skrivs ut för. I detta fall en browser och HTML parsing. Då är htmlentities() en god idé. strip_tags() är lämpligare vid input för att förfina input från de som försöker använda HTML.


Vidare är mysql_-funktionerna deprekerade/föråldrade och kommer inte längre underhållas och så småningom fasas ut. Så skriver man ny kod bör man använda mysqli, pdo eller andra alternativ.

[jonssondesign]

Hej Clarence!

Som du säkert läste i början så är jag totalt ny inom back-end programmering, så jag klassas VERKLIGEN in under, citerar "de flesta förståelse för vad de escapar och försöker använda allting, alltid, och får helt plötsligt massa problem så fort de ska göra något utöver det ursprungliga.". hehe

Jag tänker som så att, när man kör in något i en query till databasen, så skall stringen vara escapad från all typ av php kod. Så att man inte kan skriva något fult som får hela databasen att raderas, eller dyl. Känns då som om mysql_real_escape_string() skulle fungera bra där. Just så att man får bort ' och " mm.
Men sen är det ju säkert viktigt också försöka få bort en hel del andra html taggar.

Jag tänker främst på om man skulle skriva såhär:

" ?> <script> någon skadlig kod </script> <?php "

Då vore det ju skönt om man hade använt strip_tags() så att det inte går att göra så.

Gör man detta redan vid input och förhindrar ett par olika säkerhetshål, så kan man sedan strunta i olika funktioner vid output, och på så sätt spara på kraft.

Rätta mig gärna om jag har fel i mitt tänkande

Andra punkter får gärna ges feedback på! Eller om jag kanske skulle ta och skapa en ny tråd med bara frågor utöver koden.. hm.

[jonssondesign]

Någon som törs sig på att kommentera layouten?

[Advocacy]

fett snygg för att summera det hela.

frågan är hur lätt det är att göra dessa affiliatesidor gångbara med dagens google? jag vet att det finns folk som kör såna sidor här på forumet, så kanske kan få lite tips från dom