PHP и Smarty защита с stripslashes
Есть MySQL код:
CREATE TABLE IF NOT EXISTS `system_news` (
`id_news` int(11) NOT NULL,
`name` tinytext NOT NULL,
`body` text NOT NULL,
`putdate` datetime NOT NULL DEFAULT '0000-00-00 00:00:00',
PRIMARY KEY (`id_news`)
) ENGINE=MyISAM DEFAULT CHARSET=utf8;
и есть такой PHP код index.php:
<?php
include("include/config.php");
include("include/functions/import.php");
$query="SELECT id_news, name, body, DATE_FORMAT(putdate,'%d.%m.%Y') as putdate_format FROM system_news ORDER BY putdate DESC LIMIT 5";
$executequery = $conn->Execute($query);
if($executequery->recordcount()>0)
$news = $executequery->getrows();
STemplate::assign('news',$news);
//TEMPLATES BEGIN
STemplate::display('header.tpl');
STemplate::display('index.tpl');
STemplate::display('footer.tpl');
//TEMPLATES END
?>
и еще такой шаблон index.tpl:
<table width="100%"
border="0"
cellspacing="0"
cellpadding="0"
height="100%">
{section name=i loop=$news}
<tr>
<td style="text-align: justify;" ><div style="padding: 0; margin-bottom: 5px;"><span><strong>{$news[i].putdate_format}</strong> {$news[i].name} <a href="{$baseurl}/novini/{$news[i].id_news}.html">Детальнее...</a>
</span></div></td>
</tr>
{/section}
</table>
Вопрос по безопасности скрипта, надо ли где-либо вставлять SMARTY stripslashes в index.tpl или что-то подобное чтоб защитится от некоректного MySQL запроса?
Вопрос по безопасности скрипта, надо ли где-либо вставлять SMARTY stripslashes в index.tpl или что-то подобное чтоб защитится от некоректного MySQL запроса?
как вам уже в целом ответили в комментариях. Ваш SQL код не принимает никакие параметры, так что о какой-либо защите тут говорить смысла не имеет. С другой стороны, если бы параметры и были, то заниматься их обработкой должен не smarty, а основной пхп-код (т.е. смарти тут вообще не при делах, его задача - вывод html).
В дополнение несколько замечаний:
- Используйте нативные для пхп средства подключения к БД - PDO или Mysqli.
- Форматирование даты - это вопрос дизайна, задача верстальщика и решаться должна в представлении. Так что убирайте свой
date_formatиз SQL запроса. - Вывод хэдера и футера проще организовать через {include} в основном шаблоне, а не рендерить несколько шаблонов подряд. С помощью include вы сможете предетать дополнительные настройки в подключаемые шаблоны, и изменить их на разных страницах. Впрочем опять это задача представления.
- писать
{$news[i].name}в шаблоне это весьма топорно
В целом ваш index.tpl лучше привести к виду
{include "header.tpl"}
<table width="100%" height="100%"
border="0"
cellspacing="0" cellpadding="0">
{foreach $news as $n}
<tr>
<td style="text-align: justify;" >
<div style="padding: 0; margin-bottom: 5px;">
<span>
<strong>{$n.putdate|date_format:"%d.%m.%Y"}</strong>
{$n.name}
<a href="{$baseurl}/novini/{$n.id_news}.html">Подробнее…</a>
</span>
</div>
</td>
</tr>
{/foreach}
</table>
{include "footer.tpl"}
-
07:09
-
17:51
-
08:01
-
07:36
-
07:00
-
21:22
-
20:00
-
20:14
-
07:41
- Почему SERVER_ADDR имеет не тот IP 46858 visits
- Как заменить $_SERVER[REMOTE_ADDR] на IP клиента в PHP за двумя Nginx? 30320 visits
- Хочу вывести несколько строк из массива в один div, выводит только много undefined; подскажите, что делать? 22980 visits
- Как через css изменить цвет png изображения? 10194 visits
- Blob video url download 9810 visits
- Php curl запрос через прокси с авторизацией 9070 visits
- Работа с captcha vk api 7989 visits
© "hostciti.net" 18.5.2024 | 17:14