Безопасность входящих данных

[FiRеFоX]

Раньше везде использова функцию

mysql_real_escape_string(); //Экранирует спецсимолы

Потом она меня не устроила и я перешел на регулярки:

preg_replace("/[]/",'',$_text); //Вырезаем всё не нужное

Но сегодня решил и регулярки отбросить, нафиг пользователей лишать половины символов? Да и глючит она с утф, и-за этого не могу перейти на утф..
Теперь решил перейти на:

htmlspecialchars("$_text", ENT_QUOTES); //Меняем спецсимолы на обычные символы

Безопасна ли она, если только её одну использовать при входящих текстовых данных (POST,GET)?
Потестировал, вроде sql инъекции не происходит, нашел только один ньюанс тут... Если не профильтровать входящие данные в бд одинарными кавычками(даже число), то может быть инъекция, достаточно лишь в конец добавить /* - знак комментария)
Как быть? Может использовать strtr();? Взять в массивчик все опасные данные и вырезать?

 

[medwoodu]

Раньше везде использова функцию

mysql_real_escape_string(); //Экранирует спецсимолы

Потом она меня не устроила и я перешел на регулярки:

preg_replace("/[]/",'',$_text); //Вырезаем всё не нужное

Но сегодня решил и регулярки отбросить, нафиг пользователей лишать половины символов? Да и глючит она с утф, и-за этого не могу перейти на утф..
Теперь решил перейти на:

htmlspecialchars("$_text", ENT_QUOTES); //Меняем спецсимолы на обычные символы

Безопасна ли она, если только её одну использовать при входящих текстовых данных (POST,GET)?
Потестировал, вроде sql инъекции не происходит, нашел только один ньюанс тут... Если не профильтровать входящие данные в бд одинарными кавычками(даже число), то может быть инъекция, достаточно лишь в конец добавить /* - знак комментария)
Как быть? Может использовать strtr();? Взять в массивчик все опасные данные и вырезать?

http://www.php.net/manual/en/mysqli-stmt.bind-param.php не пора ли начать использовать и прекратить извращаться?
http://ru2.php.net/manual/en/book.filter.php а так же это

 

[FiRеFоX]

Раньше везде использова функцию

mysql_real_escape_string(); //Экранирует спецсимолы

Потом она меня не устроила и я перешел на регулярки:

preg_replace("/[]/",'',$_text); //Вырезаем всё не нужное

Но сегодня решил и регулярки отбросить, нафиг пользователей лишать половины символов? Да и глючит она с утф, и-за этого не могу перейти на утф..
Теперь решил перейти на:

htmlspecialchars("$_text", ENT_QUOTES); //Меняем спецсимолы на обычные символы

Безопасна ли она, если только её одну использовать при входящих текстовых данных (POST,GET)?
Потестировал, вроде sql инъекции не происходит, нашел только один ньюанс тут... Если не профильтровать входящие данные в бд одинарными кавычками(даже число), то может быть инъекция, достаточно лишь в конец добавить /* - знак комментария)
Как быть? Может использовать strtr();? Взять в массивчик все опасные данные и вырезать?

http://www.php.net/manual/en/mysqli-stmt.bind-param.php не пора ли начать использовать и прекратить извращаться?
http://ru2.php.net/manual/en/book.filter.php а так же это

Я энглиша не знаю на русском не нашел примеров её работы и описания как работает
Как ей пользоваться?

 

[medwoodu]

Я энглиша не знаю на русском не нашел примеров её работы и описания как работает
Как ей пользоваться?

ага. а еще и в гугле забанили
http://phpclub.ru/detail/article/mysqli

 

[FiRеFоX]

Я энглиша не знаю на русском не нашел примеров её работы и описания как работает
Как ей пользоваться?

ага. а еще и в гугле забанили
http://phpclub.ru/detail/article/mysqli

Спасибо, буду пробовать осваивать!
Есть вопрос не по теме, но по разделу: Как закрыть доступ к txt файлам из адресной строки? Что бы их открывать можно было только через php?

 

[medwoodu]

Я энглиша не знаю на русском не нашел примеров её работы и описания как работает
Как ей пользоваться?

ага. а еще и в гугле забанили
http://phpclub.ru/detail/article/mysqli

Спасибо, буду пробовать осваивать!
Есть вопрос не по теме, но по разделу: Как закрыть доступ к txt файлам из адресной строки? Что бы их открывать можно было только через php?

Сервер какой?
apache .htaccess

<Files *.txt>
order allow,deny
deny from all
</Files>

как то так

 

[FiRеFоX]

Я энглиша не знаю на русском не нашел примеров её работы и описания как работает
Как ей пользоваться?

ага. а еще и в гугле забанили
http://phpclub.ru/detail/article/mysqli

Спасибо, буду пробовать осваивать!
Есть вопрос не по теме, но по разделу: Как закрыть доступ к txt файлам из адресной строки? Что бы их открывать можно было только через php?

Сервер какой?
apache .htaccess

<Files *.txt>
order allow,deny
deny from all
</Files>

как то так

Спасибо, то что нужно!