Przesyłam dane przez GET, zwykła wyszukiwarka input... Jak przefiltorwać te dane? Gdy wpisze coś takiego:

[HTML] pobierz, plaintext 
xczxczc<div class="zxczxcx">lll</div>
[HTML] pobierz, plaintext 

strona jest rozwalana...

kombinowałem nawet z czymś takim ale nic to nie daje..

[PHP] pobierz, plaintext 
<?php
$wynik = strip_tags(stripslashes(htmlspecialchars(trim(addslashes($_GET['w2'])))));
?>
[PHP] pobierz, plaintext 

[PHP] pobierz, plaintext 
<?php
$str = "A 'quote' is <b>bold</b>";
 
// Output: A 'quote' is &lt;b&gt;bold&lt;/b&gt;
echo htmlentities($str);
 
// Output: A 'quote' is &lt;b&gt;bold&lt;/b&gt;
echo htmlentities($str, ENT_QUOTES);
?>
[PHP] pobierz, plaintext 

źródełko

Czytałem to, jednak problemu nie rozwiązuje:

wpisuje w input:

[HTML] pobierz, plaintext 
xczxczc<div class="zxczxcx">lll</div>
[HTML] pobierz, plaintext 

filtr:

[PHP] pobierz, plaintext 
<?php
$wynik = $_GET['w2'];
$zm = strip_tags($wynik);
 
echo htmlentities($zm);
echo htmlentities($zm  , ENT_QUOTES);
 
 
echo ''.$zm.'';
?>
[PHP] pobierz, plaintext 

efekt echo:

[HTML] pobierz, plaintext 
111133331111333311113333
[HTML] pobierz, plaintext 

formularz wygląda tak:

[PHP] pobierz, plaintext 
<form action="" method="get">
        <fieldset>
 
        <input type="hidden" name="xxc" value="wgo" />
        <input type="text" class="fszukaj"  name="w2" value="<?php echo ''.$_GET['w2'].''; ?>" />
        <input type="hidden" name="mieszkania" value="<?php echo ''.$_GET['mieszkania'].''; ?>" />
 
 
    </fieldset>
</form>
[PHP] pobierz, plaintext 

ale strona jest rozwala mimo wszytko, ponieważ dane w samym input nie są filtrowane tzn. niektóre znaki html wyskakują poza input.

Dlaczego tutaj nie użyłeś htmlentities:

[PHP] pobierz, plaintext 
<input type="text" class="fszukaj"  name="w2" value="<?php echo ''.$_GET['w2'].''; ?>" />
[PHP] pobierz, plaintext 

?
a to po co?:

[PHP] pobierz, plaintext 
<?php
$zm = strip_tags($wynik);
?>
[PHP] pobierz, plaintext 

Daj tak:

[PHP] pobierz, plaintext 
<form action="" method="get">
       <fieldset>
 
       <input type="hidden" name="xxc" value="wgo" />
       <input type="text" class="fszukaj"  name="w2" value="<?php echo htmlentities($_GET['w2']); ?>" />
       <input type="hidden" name="mieszkania" value="<?php echo htmlentities($_GET['mieszkania']); ?>" />
 
 
   </fieldset>
</form>
<?php
echo htmlentities($_GET['w2']);
?>
[PHP] pobierz, plaintext 

i pięknie działa! nic się nie rozjeżdża

Dla pewności umieśilem to w fukncji:

[PHP] pobierz, plaintext 
<?php
function zabezpieczget($danezget)
{
return mysql_real_escape_string(htmlspecialchars(strip_tags(addslashes($danezget))));
}
?>
[PHP] pobierz, plaintext 

teraz tylko musze przy kazdym GET dodać zabezpiecznieget... trochę roboty mnie czeka...

ps. taka filtracja dobrze się nadaje też do post i wysyłaniu danych do bazy? Czy jeszcze coś dodać?

Załóżmy, że chcę wyszukać słowa z apostrofem.

Sprawdź, co Ci zwróci to szukanie (stawiam na to, że nic, jeśli oczywiście masz takie słowa w bazie). Czemu?
Znak ucieczki doda: addslashes i mysql_real...

Zdecyduj się na jedną z nich, dwie to nadmiar uniemożliwiający poprawne działanie wyszukiwarki. Swoją drogą podpowiem, że lepiej mysql_...

Wcale nie musisz wszędzie dawać html....

Możesz dać na początku każdego pliku:

[PHP] pobierz, plaintext 
<?
if(is_array($_GET)){
    foreach ($_GET as $key => $value) {
        $_GET[$key]=htmlentities($value);
    }
}
?>
[PHP] pobierz, plaintext 

lub jak wolisz:

[PHP] pobierz, plaintext 
<?
function zabezpieczget($danezget)
{
return mysql_real_escape_string(htmlspecialchars(strip_tags($danezget)));
}
 
if(is_array($_GET)){
    foreach ($_GET as $key => $value) {
        $_GET[$key]=zabezpieczget($value);
    }
}
?>
[PHP] pobierz, plaintext 

czyli:

[PHP] pobierz, plaintext 
<?
if(is_array($_GET)){
    foreach ($_GET as $key => $value) {
        $_GET[$key]=htmlentities($value);
    }
}
?>
<form action="" method="get">
       <fieldset>
 
       <input type="hidden" name="xxc" value="wgo" />
       <input type="text" class="fszukaj"  name="w2" value="<?php echo $_GET['w2']; ?>" />
       <input type="hidden" name="mieszkania" value="<?php echo $_GET['mieszkania']; ?>" />
 
 
   </fieldset>
</form>
<?php
echo $_GET['w2'];
?>
[PHP] pobierz, plaintext 

i nie musisz się martwić.

Shili - jeśli podam do wyszukania słowo "willa" jako:



zostanie ono zamienione na:



I zostanie bez problemu wyszukane... tylko pojawiają się \\\\\ w wyniku... Jak można to usunąć? heh zakręcone, dodanie \\ dla bezpieczeństwa, ale bląd w wyświetlaniu.. późniejszym po filtrowaniu

Napisałam - wywal addslashes - mysql_real_escape_string jest lepsze, bo nie dość, że escapeuje znaki, które addslashes może ominąć, to w dodatku jest bezpośrednio przeznaczone do bazy mysql.

Wywaliłem, efekt pozostał:

[PHP] pobierz, plaintext 
<?php
function zabezpieczget($danezget)
{
return mysql_real_escape_string(htmlspecialchars(strip_tags(stripslashes($danezget))));
}
?>
[PHP] pobierz, plaintext 

edit dodałem stripslashes, teraz jest dobrze?

Nie wiem, to zależy co widzisz.

Jeśli masz włączone magic quotes, to pewnie tak

Widzę.. złe rzeczy widze np. mogę wpisać:



i wyskoczy mi ze dwa takie... można się tego pozbyć? aby nie było można robić spacji, apostrofów itp.? Nie są mi one potrzebne do szczęścia;)

Widzisz już takie rzeczy po dodaniu do bazy, czy jeszcze przed?

Jeśli przed, to wszystko jest dobrze, jeśli w bazie się coś takiego pojawia, to jest źle. Także sprecyzuj gdzie widzisz podwójny / i pomyślimy, względnie się wytłumaczy czemu tak jest.

Przed dodaniem, w zasadzie w każdym polu tak jest, baza jest "czysta". \\ pojawia sie po zatwierdzeniu formularza, oczywiście nie przejdze, bo blokuje go filtr, ale jeśli wpiszę:



jest jeden myk z tym, na stronie mam inny include z linkami... jeśli chce wyszukać poprzez właśnie "\\nazwa\\" i kliknę na inny link, w adresie strony pojawia sie taki ciąg znaków



niby ok, bo tak przeglądarka widzi taki adres, ale... gdy kliknę tak z parę razy ta zmienna się klonuje



po kilku takich klikach strona jest blokowana, riques-url/

Wysyłaj dane postem to uniknieiesz takich, problemów ze slashami.

Co do twojego pytania dodaj w <form action="" nazwe pliku do którego jest wysyłany formularz

Mylisz się, po zmianie na post i wpisaniu \\ nadal pojawia się \\\\ ... poza tym get w przypadku wyszukiwarki jest lepszym rozwiązaniem.

Kurde,
do bazy wstawiasz dane przerzucone TYLKO przez mysql_real_escape()
do wyswietlania uzywasz htmlspecialchars(), i tyle [nie wazne skad dane pochodza].

a ok.. dodatkowo idą dane przez filtr:

[PHP] pobierz, plaintext 
<?php
$nazwa = stripslashes($nazwa);
$nazwa= ereg_replace('[^a-zA-Z0-9]', '', $nazwa);
?>
[PHP] pobierz, plaintext 

teraz żadne znaczki nie powinny się przedostać?

Czy nie jest tak, że mysql sam dodaje slashe podczas przesyłania danych do bazy? I htmlspecialchars() powinno już wystarczyć (ewentualnie możesz sprawdzać typ danych, jeśli np. mają być tylko liczbowe, lub ten typ wymuszać). Ja osobiście dodaje jeszcze strip_tags i imho starczy.

edit: i staram się używać POST kiedy tylko jest to możliwe, żeby mi ktoś głupich linków nie konstruował.

kazag - a jak zrobiłbyś w POST wyszukiwarkę ze stronicowaniem + 4 includy na stronie z czego każdy ma swoje stronicowanie? jest to conajmniej kłopotliwe...

Nie. Gdyby tak było, to nie byłoby również mowy o czymś takim jak sql injection.

Jeśli jest włączona dyrektywa magic quotes, to faktycznie slashe są dodawane - ale nie potrafią obsłużyć wszystkich znaków specjalnych. Dlatego o wiele lepsze jest i tak mysql_real_escape_string();