Перейти до вмісту
Пошук в
  • Детальніше...
Шукати результати, які ...
Шукати результати в ...

Проблема экранирования в OC

cmd
 Share

Recommended Posts

cmd Mentor

cmd

Опубліковано:
Опубліковано:

В драйвере mysql функция

public function escape($value) {
  return mysql_real_escape_string($value, $this->link);
}
экранирует спец. символы. Но если у нас кавычки, да ещё и двойные.... происходит какая-то фигня. И в итоге на выходе я получил строку типа:

<input type="text" name="product_description[2][name]" size="100" value=""Защитная крышка для New iPad/iPad 2 ""3D аниме герои"" (пластик)"" />

Которая, естественно, выдает пустой input. Мне одному кажется что это упущение, которое нужно исправить?

  • +1 1
Надіслати
Поділитися на інших сайтах
1

freelancer Grand Master

freelancer

Опубліковано:
Опубліковано:

В драйвере mysql функция

public function escape($value) {
  return mysql_real_escape_string($value, $this->link);
}
экранирует спец. символы. Но если у нас кавычки, да ещё и двойные.... происходит какая-то фигня. И в итоге на выходе я получил строку типа:

<input type="text" name="product_description[2][name]" size="100" value=""Защитная крышка для New iPad/iPad 2 ""3D аниме герои"" (пластик)"" />

Которая, естественно, выдает пустой input. Мне одному кажется что это упущение, которое нужно исправить?

да давай код сразу
  • +1 1
Надіслати
Поділитися на інших сайтах
1

cmd Mentor

cmd

Опубліковано:
  • Автор
Опубліковано:

да давай код сразу

Какой код давать? Делаем INSERT

   $product['name'] = '"Защитная крышка для New iPad/iPad 2 ""3D аниме герои"" (пластик)"';
   $sql = "INSERT INTO `".DB_PREFIX."product_description` ";
   $sql .= "(`product_id`, `language_id`, `name`, `description`) ";
   $sql .= "VALUES ('".$product_id."', '".$lang_id."', '".$this->db->escape($product['name'])."', '');";
  
   $this->db->query($sql);

Получаем выхлоп с пустыми input

<input type="text" name="product_description[2][name]" size="100" value=""Защитная крышка для New iPad/iPad 2 ""3D аниме герои"" (пластик)"" />
  • +1 1
Надіслати
Поділитися на інших сайтах
1

freelancer Grand Master

freelancer

Опубліковано:
Опубліковано:

Получаем выхлоп с пустыми input

<input type="text" name="product_description[2][name]" size="100" value=""Защитная крышка для New iPad/iPad 2 ""3D аниме герои"" (пластик)"" />
вот этот выхлоп ты как получаешь?
Надіслати
Поділитися на інших сайтах
1

cmd Mentor

cmd

Опубліковано:
  • Автор
Опубліковано:

freelancer, замена HTML сущностей при обработке $_POST, а не в драйвере БД. Мне кажется странно, что в драйвере БД нет функции, которая за это отвечает. Что-то типа:

public function escape($value, $htmlspecialchars = false) {
  if ($htmlspecialchars === true) {
return mysql_real_escape_string(htmlspecialchars($value, ENT_COMPAT));
  } else {
return mysql_real_escape_string($value, $this->link);
  }
}
  • +1 1
Надіслати
Поділитися на інших сайтах
1

Створіть аккаунт або увійдіть для коментування

Ви повинні бути користувачем, щоб залишити коментар

Створити обліковий запис

Зареєструйтеся для отримання облікового запису. Це просто!

Зареєструвати аккаунт

Вхід

Уже зареєстровані? Увійдіть тут.

Вхід зараз
 Share
Перейти до списку тем

  • Зараз на сторінці   0 користувачів

    • Ні користувачів, які переглядиють цю сторінку

Покупцям

Розробникам

Корисна інформація

Останні розширення

×
×
  • Створити...

Important Information

На нашому сайті використовуються файли cookie і відбувається обробка деяких персональних даних користувачів, щоб поліпшити користувальницький інтерфейс. Щоб дізнатися для чого і які персональні дані ми обробляємо перейдіть за посиланням . Якщо Ви натиснете «Я даю згоду», це означає, що Ви розумієте і приймаєте всі умови, зазначені в цьому Повідомленні про конфіденційність.

  Я даю згоду