geany конечно неплох, но блокнот блокнотом

>а шрифты хорошие (зачем себя гавном поливать), Либерейшен? Да в редакторе либрейшн, в остальном дежавю. Просто некоторым нравятся как в винде, а такое они называют "размазней", но мне самому нравится =)

ну если всё рабоатет.. то фиг с этим... но расширить этот файл уж точно не удасться [вот тогдато и придётся переписывать]. ну да ладно. может это опять таки и не нада...

..но хочу предупредить что экранирвоание в SQL различное чем экранирование в magic_blablabla

[например в sql, двойное написание одинарных ковычки (внутри строки заключённой в одинарные ковычки) интерпритируется как одинарные ковычки..) , есть и другие оспекты. например связанные с непечатаемыми символами.....]

возможно это (разные алгоритмы экранизации) *покачто* и не проявятся никак (в обычных данных).. но если ввести чтото специфичное, то это себя точно както проявит.

например у меня удалось както ввести такую строку сообщение на www.lor-ng.org, так что выдалась error-ссообщение php о том что в mysql базе некорректный запрос..(на этом сайте халатно относятся к экранизации данных. потипу magic_blablabla и всё пофигу, а в некоторых местах наоборот экранизация не в тему)... .... блин.... вот я забыл что вводил... теперь получилось както голословно... :-( :-(

[.... и вообще в каждых видах данных как правило свой алгоритм экранизации. и при формировании запросов-и-прочего – нужно пользоваться теми функциями-экранизации которые предназначенны для формирования ДАННОГО вида строки (тоесть не сушествует "универсальной" функци экранизации для всего: на каждый вид "смешанной" строки – свой алгоритм "смешивания"]

—

хотя для скриншотного project_manage/init.php может и соёдёт всё так как есть... если код файла такой маленький и больше совершенно не планируется расширяться, то возможно и хватит того что там есть..... .... но на глазах конечноже как бельмо – потенциально-некорректный код.

>простите... я тогда извеняюсь, за возможно грубый тон... :-[ Да нет, всё в порядке =)

Там значения в чистом виде, просто символы ' " / & заменены на хтмл эквиваленты, я сомневаюсь, что в поиске они будут учавствовать, хотя не исключаю (Например "GNU/Linux"). А минус, как я уже говорил - нагрузка на сервер. Зачем напрягать сервер и делать htmlspecialchars для каждой страницы, если результат всегда будет одинаковый? А вдруг там текста дохрена?))

>а вот НАХРЕН их экранирвоать везде? может в некоторых функциях этого не требуется? В данном случае (!) я пишу в БД только затем, чтоб вывести потом на страницу, если мне данные нужны для других целей, я не буду экранировать, согласен.

понял в чом дело :-) :-)...

я не могу точно утверждать.. не неисключено что значет у тебя гдето две ошибке (и они друг друга какбы "самоуничтожают")

тоесть например в одном месте ты зыбал сделать stripslashes($_POST[]), а вдруго месте забыл сделать escapeString()....

... и получилось что какбы лишних "\" в обычных случаях нет :-)..

// p.s. могу ошибаться... php.ini менялось по отношению к этой фегне?

> Но таки да, я не эксперт, а самоучка, так что на звание Ъ не претендую ;)

простите... я тогда извеняюсь, за возможно грубый тон... :-[

вот когда будешь ВСТАВЛЯТЬ свои $title (и другие переменные) в html-код – тогда и пиши: echo '<b>'.htmlspecialchars($title).'</b>';

но никак НЕ РАНЬШЕ... вот например проэкранировал ты заранее, и поместил в базу данных... как КАК ПОТОМ СДЕЛАТЬ поиск по этой базе данных, если там значения уже не в чистом виде а м непонятными &blablabla; ???

тут два варианта (если делать вызовы _не_там_где_нада_: intval, htmlspecialchars, escapeString, ...) 1. либо будут дыры [где конкретно я не знаю.. яже не видил весь проект] 2. либо будут КОСЯКИ, такиеже как вот на www.lor-ng.org, что когда постишь какоето сообщение, то чтото невтему заменяется на чтото (например ["] не в тему заменятся на [\"]) , появляется мусор, илиже некоторые функции работаеют только с определённым набором символов

3. хотя возможен вариант одновременного и [1] и [2].. но врядле :-)..

> все кавычки экранируются с помощью magic_quotes (или как их)

а вот НАХРЕН их экранирвоать везде? может в некоторых функциях этого не требуется?

X-Powered-By: PHP/5.2.9-pl2-gentoo Как бы самый последний из стабильных, на работе тоже всё работает.

Но таки да, я не эксперт, а самоучка, так что на звание Ъ не претендую ;)

>Нажимаю \"сохранить\", обновляю страницу и вижу те же самые символы, никаких лишних слешей. (Просто при вставке в мускульную базу эти слеши как раз и нужны, и их не надо стипать, ЕМНИП)

может быть что в *твоём* случае stripslashes() для $_POST[] делать не нада... но с параместрами php поумолчанию (самой свежей php) – такая вот фигня что оно нада :-(

3. при формировании запросса ($query) – параметры запроса (переменные) должны вставляться ОБЯЗАТЕЛЬНО либо через intval() либо через ...->escapeString(). [одно из двух, и никак иначе. в зависимости от того: число это или строка]

опять-же-таки делать экранирование гдето \"заранее\" – нивкоем случае НЕНАДА(!!) [как это было НЕПРАВИЛЬНО сделано выше (на скриншоте) с htmlsprcialchars(). так как в разных конкретных случаях, способ экранирования зависит от того ЧТО КОНКРЕТНО ФОРМИРУЕТСЯ. переменные должны ВСЕГДА содержать ЧИСУТЮ неэкранированную информацию, а процесс экранирования должен происходить ТОЛЬКО (и ВСЕГДА!) В МОМЕНТ \"смешивания\" одной переменной с другой переменной-или-константой]

блин... жесть.. столько дыр в разных проектах, только потомучто что люди немогут предерживаться этих простых правил.... экранируют всёподрят что не поподя, по 10 раз, изза чего появляется &amp;-мусор на web-страничках, а где нада-былобы-заэкранировать могут и забыть это сделать :-/ :-/ :-/

По второму пункту не понял зачем это, у меня символы / и вставляются без проблем, пруф: http://img530.imageshack.us/img530/2720/4lorng.png

Нажимаю \"сохранить\", обновляю страницу и вижу те же самые символы, никаких лишних слешей. (Просто при вставке в мускульную базу эти слеши как раз и нужны, и их не надо стипать, ЕМНИП)

> fixed

2. при получении данных из $_GET[] и $_POST[], через stripslashes($_GET[...]) stripslashes($_POST[...]).

вобщем типичного ошибки html-новечка

Лучше расскажи как ноут работает, конки не дохера ли жрёт проца?

З.Ы. Странно, на их сайте написано что gpl, а в гентушной багзилле только bin версия