Pomoc - Szukaj - Użytkownicy - Kalendarz
Pełna wersja: [PHP]Filtrowanie
Forum PHP.pl > Forum > Przedszkole
kleszczoscisk
20.03.2010, 17:19:09
Witam i proszę o poradę.
Na stronie, po zalogowaniu użytkownik dodaje tre¶ci, między innymi tytuł swojej publikacji. Wiecznym problemem s± ludzie, którzy wpisuj± mimo pró¶b wszystkie możliwe rodzaje cudzysłowów, my¶lników i innych znaków. Moje pytanie brzmi: czy jest jaka¶ fajna uniwersalna funkcja filtruj±ca dane z formularza przed dodaniem do MySQL pod k±tem niepoż±danych znaków (spoza a-z±ćęłń󶼿A-ZˇĆĘŁŃÓ¦¬Ż0-9) jak i bezpieczeństwa ?
Póki co robię tak:
[PHP] pobierz, plaintext 
  1. if (isset($_POST['tytul'])) {
  2. $tytul = trim($_POST['tytul']);
  3. $tytul = str_replace('-','–',$tytul);
  4. $tytul = str_replace("'","’",$tytul);
  5. $tytul = mysql_real_escape_string($tytul);
  6. }
[PHP] pobierz, plaintext

Słabo to działa ponieważ zamiast cudzysłowu dostaję \\".
luck
20.03.2010, 17:20:34
Może:
[PHP] pobierz, plaintext 
  1. htmlspecialchars()
[PHP] pobierz, plaintext
kleszczoscisk
20.03.2010, 17:25:49
Dzięki. Krok dalej... smile.gif W zasadzie docelowo to chciałbym wywalić wszystko co nie jest liter±, cyfr± lub przecinkiem i kropk±.
luck
20.03.2010, 17:31:05
Proszę bardzo:
[PHP] pobierz, plaintext 
  1. preg_replace("/[^a-zA-Z0-9.,\s]/", "", $string)
[PHP] pobierz, plaintext
kleszczoscisk
20.03.2010, 17:36:37
oo, czadzik, dzięki...
Czyli takie filtrowanie:
[PHP] pobierz, plaintext 
  1. if (isset($_POST['tytul'])) {
  2. $tytul = mysql_real_escape_string(preg_replace("/[^a-zA-Z0-9., \s]/", "", $tytul));
  3. }
[PHP] pobierz, plaintext

... będzie również bezpieczne przed dodaniem do bazy ?

edit: poprawione, jeszcze raz dzięki smile.gif
luck
20.03.2010, 17:38:35
Będzie bezpieczne.
PS. Tylko oczywi¶cie w tym konkretnym przypadku zmień $string na $_POST['tytul'] winksmiley.jpg
gothye
20.03.2010, 17:44:30
i jeszcze :
addslashes()
kleszczoscisk
20.03.2010, 17:52:24
Jakis problem jest...
[PHP] pobierz, plaintext 
  1. if(isset($_POST['tytul'])) {
  2. //$tytul = preg_replace("/[^a-z±ćęłń󶼿A-ZˇĆĘŁŃÓ¦¬Ż0-9., /s]/", "", $tytul);
  3. $tytul = preg_replace("/[^a-z±ćęłń󶼿A-ZˇĆĘŁŃÓ¦¬Ż0-9.,\s]/", "", $tytul);
  4. $tytul = mysql_real_escape_string($tytul);
  5. }
[PHP] pobierz, plaintext


Ten kod całkowicie zjada zawartosc zmiennej $tytul. Co jest nie tak ?

EDIT: poprawiłem uko¶nik w \s
luck
20.03.2010, 17:56:36
Patrz post #6.
kleszczoscisk
20.03.2010, 18:06:36
Nazwę zmiennej poprawiłem ale to nie to. Spację w wyrażeniu regularnym też (jak doczytałem, że \s oznacza wła¶nie spacje).

Już działa pięknie, dzięki za pomoc smile.gif
To jest wersja lo-fi głównej zawarto¶ci. Aby zobaczyć pełn± wersję z większ± zawarto¶ci±, obrazkami i formatowaniem proszę kliknij tutaj.
Invision Power Board © 2001-2025 Invision Power Services, Inc.