Forgot Password ??

PHP , ASP , ASP.NET, VB.NET, C#, Java , jQuery , Android , iOS , Windows Phone

	Registered : 109,038

HOME > PHP > PHP Forum > สอบถามปัญหาการใช้งาน str_replace กับ real_escape_string

สอบถามปัญหาการใช้งาน str_replace กับ real_escape_string

เริ่มหัวข้อใหม่

pond

โพสกระทู้ ( 10 )
บทความ ( 0 )

ผมเจอปัญหาในตอนที่ผมตัดอักขระพิเศษครับ ใครช่วยอธิบายที

Code (PHP)

$mysqli =mysqli_connect('my_host', 'my_user', 'my_pass', 'my_db');
	if ($mysqli->connect_error) {
		die('Connect Error (' . $mysqli->connect_errno . ') '. $mysqli->connect_error);
	}
	$text = "!@#$%^&*()_+|}{?>'<script>alert('aaaaa');</script>";
	$aa = $mysqli->real_escape_string($text);
	echo $aa."<br>";
	$letters = array('<','>','*', '#','?','$','!','%','^','{','}','(',')','|');
	$bb = str_replace($letters,'',$aa);
	echo $bb;

นี่ส่วนแสดงผล

!@#$%^&*()_+|}{?>\'
@&_+\'scriptalert\'aaaaa\';/script

อยากทราบว่า ทำไมถึงยังมีคำว่า script ทั้งๆทีเราตัดออกไปแล้ว

Tag : PHP

Date : 2015-05-11 17:10:30

By : พีรพล

View : 1189

Reply : 4

No. 1

คนธรรมดา ไม่พิเศษ

โพสกระทู้ ( 2,311 )
บทความ ( 1 )

ลองใช้ตัวนี้ดูก็ได้ครับ
Code (PHP)

function clean($input){
	$input = trim($input);
	if(get_magic_quotes_gpc()) {
		$input = stripslashes($input);
	}
	#ตัด html tag
	$input = strip_tags($input);
	return mysql_real_escape_string($input);
}

$text = "!@#$%^&*()_+|}{?>'<script>alert('aaaaa');</script>";
echo clean($text);

Date : 2015-05-11 17:46:20

By : arm8957

No. 2

Chaidhanan

โพสกระทู้ ( 9,590 )
บทความ ( 2 )

07.echo $aa."<br>";
ผลลัพธ์ เป็น
!@#$%^&*()_+|}{?>\'

ที่เห็นแบบนี้เพราะ <script>alert('aaaaa');</script> ถูกซ่อนไว้ไม่โชว์ บนหน้าเพจปกติครับ
ต้อง view source ออกมาดูถึงจะเห็น

Date : 2015-05-11 19:31:09

By : Chaidhanan

No. 3

pond

โพสกระทู้ ( 10 )
บทความ ( 0 )

ตอบความคิดเห็นที่ : 2 เขียนโดย : Chaidhanan เมื่อวันที่ 2015-05-11 19:31:09

รายละเอียดของการตอบ ::

ถ้าผมต้องการตัดมันออกไปเลย ได้ไหมครับ ด้วยคำสั่งนี้
เมื่อก่อนผมใช้ preg_replace พอดีอยากไปใช้ mysqli ก็เลยหาฟังก์ชันที่ทดแทน

Date : 2015-05-11 21:28:54

By : พีรพล

No. 4

Chaidhanan

โพสกระทู้ ( 9,590 )
บทความ ( 2 )

มันทำงานกันคนละแบบครับ

real_escape_string( ) เป็นการตรวจเช็ค อักขระพิเศษ เพื่อป้องกัน injection
จำพวก quote ครับ ไม่ได้ตัดคำครับ เป็นการเพิ่มอักษรเข้าไปหน้าอักษรพิเศษครับ

ใช้ str_replace() preg_replace() ถูกต้องแล้วครับ

Date : 2015-05-12 06:15:58

By : Chaidhanan

ค้นหาข้อมูล

แสดงความคิดเห็น

Re : สอบถามปัญหาการใช้งาน str_replace กับ real_escape_string

รายละเอียด

เพื่อความเรียบร้อยของข้อความ ควรจัดรูปแบบให้พอดีกับขนาดของหน้าจอ เพื่อง่ายต่อการอ่านและสบายตา และตรวจสอบภาษาไทยให้ถูกต้อง

อัพโหลดแทรกรูปภาพ

Notice

เพื่อความปลอดภัยของเว็บบอร์ด ไม่อนุญาติให้แทรก แท็ก [img]....[/img] โดยการอัพโหลดไฟล์รูปจากที่อื่น เช่นเว็บไซต์ ฟรีอัพโหลดต่าง ๆ
อัพโหลดแทรกรูปภาพ ให้ใช้บริการอัพโหลดไฟล์ของไทยครีเอท และตัดรูปภาพให้พอดีกับสกรีน เพื่อความโหลดเร็วและไฟล์ไม่ถูกลบทิ้ง

เพื่อความปลอดภัยและการตรวจสอบ กระทู้ที่แทรกไฟล์อัพโหลดไฟล์จากที่อื่น อาจจะถูกลบทิ้ง

โดย

อีเมล์

บวกค่าให้ถูก

<= ตัวเลขฮินดูอารบิก เช่น 123 (หรือล็อกอินเข้าระบบสมาชิกเพื่อไม่ต้องกรอก)

Load balance : Server 01

Registered : 109,038

document.write("<font color=996600>[PHP]</font>"); สอบถามปัญหาการใช้งาน str_replace กับ real_escape_string