Обработчик для заголовка kohana, кто какие параметры использует?

Question

[Антон Вебсайтовский]

Здравствуйте, кто какие параметры использует для обработки заголовка у товаров или новостей и т.д?
Возникла проблема в заголовке часто бывают различные знаки, допустим, кавычки "
Допустим? идет заголовок Диван "Мойзе", при добавлении, то что в кавычках, не добавляется и выходит что заголовок (Диван), обрезается до первой кавычки, что с этим делать? Стоит ли добавлять эти кавычки в заголовок, повлияет ли это на поисковые системы? и т.д

На данный момент использую удаление лишних пробелов:

public function action_clean()
    {
        foreach (ORM::factory('product')->find_all() as $prod) {
            $name = $prod->prname;
            $name = str_replace('     ', ' ', $name);
            $name = str_replace('    ', ' ', $name);
            $name = str_replace('   ', ' ', $name);
            $name = str_replace('  ', ' ', $name);
            $prod->prname = $name;
            $prod->save();
        }

        return true;
    }

Comments

[Алексей Уколов]

Скобки выглядят вот так: (), {}, [].

[Антон Вебсайтовский]

Алексей Уколов: ну а " или ' тож как искобки используют чтобы выделить слово.

[Алексей Уколов]

https://ru.wikipedia.org/wiki/Скобки
https://ru.wikipedia.org/wiki/Кавычки

[Сергей Протько]

А еще вместо 4-ех str_replace-ов можно один раз сделать preg_replace('/\s+/', ' ', $name)

[Антон Вебсайтовский]

Сергей Протько: что это даст?

[Сергей Протько]

Антон Вебсайтовский: это даст более адекватный код. Но если вам плевать то ок.

[Антон Вебсайтовский]

Сергей Протько: а по конкретнее убирает в заголовке " плюсики и слешики?

[Антон Вебсайтовский]

Сделал так:

$name = preg_replace(' ', '/\s+/', ' ', $name);
$name = preg_replace(' ', '/\s+/', ' ', $name);
$name = preg_replace(' ', '/\s+/', ' ', $name);
$name = preg_replace(' ', '/\s+/', ' ', $name);

Правильно ли? а как сделать чтобы удалял лишние пробелы между словами? а то не удаляет.

Answer 1

[Сергей Протько]

вы только что нашли уязвомие для sql инъекций место. Варианты:

1) prepared statements
2) экранирование.

Comments

[Антон Вебсайтовский]

не понял, уязвимые места? что то не так у меня сделано?

[Сергей Протько]

Антон Вебсайтовский: кохана мертва, ваш проект потихоньку пропитывается трупным ядом.

Почитайте про те штуки которые я перечислил. Если у вас обрезаются части запроса после "кавычки" то значит проблема с экранизацией значений. Решают эти вещи перечисленные мною два варианта (первый предпочтительнее, но я не знаю что там как в кохане).

[Антон Вебсайтовский]

Сергей Протько: понял, так он у меня щас убирает лишние пробелы из за головка если они есть.

[Антон Вебсайтовский]

а если на вывод добавить htmlspecialchars

[SilverSlice]

Сергей Протько: Kohana, конечно, legacy framework, но не настолько, чтобы не экранировать переменные при вставке через ОРМ. А автор скорее всего выводит название в input, не форматируя, тут надо было twig советовать)

[Антон Вебсайтовский]

SilverSlice: да через импут, value и т.д

[Антон Вебсайтовский]

SilverSlice: я так и не понял разницу и какой вариант лучше мой или этот
$name = preg_replace(' ', '/\s+/', ' ', $name);
$name = preg_replace(' ', '/\s+/', ' ', $name);
$name = preg_replace(' ', '/\s+/', ' ', $name);
$name = preg_replace(' ', '/\s+/', ' ', $name);

[Сергей Протько]

Антон Вебсайтовский: ваши 4 строчки заменяются одной с preg_replace.

[Антон Вебсайтовский]

Сергей Протько: это я понял, но я разницы не заметил, добавлял по всякому и ничего не заметил, а вот это htmlspecialchars помогло.

[SilverSlice]

Антон Вебсайтовский, вы извините, но как вы с такими знаниями занимаетесь коммерческой разработкой сайтов в студии?

- htmlspecialchars нужно применять при выводе в html ко всем пользовательским данным, а также при выводе в атрибуты тэгов. Почитайте про XSS, посмотрите её пример на вашем сайте, разберитесь и исправьте ошибки.

- Выше вам написали про prepared statements, почитайте, что это такое, и как защититься от sql-инъекций. А то ваш код их легко пропускает. И выключите отображение ошибок на сервере, а то ваш запрос виден любому злоумышленнику.

- Своим кодом вы заменяете несколько пробелов в строках на один. Вам предложили более правильный вариант кода, потому что он заменяет любоё число пробелов (хоть 100) на один. Чтобы понять, как он работает, нужно разобраться хотя бы в основах регулярных выражений. Вам должно быть понятно, что такое \s, что такое + и что такое / в строке замены. Далее, вы скопировали уже приведенный код и зачем-то поменяли его. Открывайте документацию к функции preg_replace и разбирайтесь, что какой параметр означает.