FiRеFоX
V.I.P.
- Регистрация
- 07.08.2010
- Сообщения
- 744
Раньше везде использова функцию
Потом она меня не устроила и я перешел на регулярки:
Но сегодня решил и регулярки отбросить, нафиг пользователей лишать половины символов? Да и глючит она с утф, и-за этого не могу перейти на утф..
Теперь решил перейти на:
Безопасна ли она, если только её одну использовать при входящих текстовых данных (POST,GET)?
Потестировал, вроде sql инъекции не происходит, нашел только один ньюанс тут... Если не профильтровать входящие данные в бд одинарными кавычками(даже число), то может быть инъекция, достаточно лишь в конец добавить /* - знак комментария)
Как быть? Может использовать strtr();? Взять в массивчик все опасные данные и вырезать?
Код:
mysql_real_escape_string(); //Экранирует спецсимолы
Код:
preg_replace("/[]/",'',$_text); //Вырезаем всё не нужное
Теперь решил перейти на:
Код:
htmlspecialchars("$_text", ENT_QUOTES); //Меняем спецсимолы на обычные символы
Потестировал, вроде sql инъекции не происходит, нашел только один ньюанс тут... Если не профильтровать входящие данные в бд одинарными кавычками(даже число), то может быть инъекция, достаточно лишь в конец добавить /* - знак комментария)
Как быть? Может использовать strtr();? Взять в массивчик все опасные данные и вырезать?