Czy taka funkcja zabezpiecza dane które mają być zapisywane do bazy danych? Dodatkowo korzystam z PDO.

[PHP] pobierz, plaintext 
 
   public function allowedcharacters($data) {
                $data = filter_var($data, FILTER_SANITIZE_STRING);  
                if (preg_match("/^[a-z ęóąśłżźćń]+$/", $data) == false) {
                   return "Niedozwolone znaki";
                }
        }
[PHP] pobierz, plaintext 

Takie jeszcze poboczne pytanie co dokładnie robi flaga FILTER_SANITIZE_STRING bo z tego co wyczytałem, to usuwa znaki html'owskie ale co jeszcze usuwa?

A duże litery i znaki przestankowe? Cyfry też wykluczasz?

tak w tym polu akurat tak miało być, w innych gdzie to wymagane to może zrobić takie coś?

[PHP] pobierz, plaintext 
		str_replace(array('\\','[',']','^','$','.','|','?','*','+','(',')'),array('\\\\','\[','\]','\^','\$','\.','\|','\?','\*','\+','\(','\)'),$data);
[PHP] pobierz, plaintext 

czy poprostu dać addslashes?

Hmm, myślę, że nie ma co wymyślać koła na nowo, funkcje których potrzebujesz już są dostępne w PHP, tak jak mówiłeś addslashes, ale także strip_tags chociażby.

@b4rt3kk: wpaski używa filter_var oraz jak mówił PDO więc zdradź co mają dwie propozycje mu dać?
Jak już to htmlentities oraz http://htmlpurifier.org/

Zabezpiecza? W sensie przed SQL injection? Nie, nie zabezpiecza. Przed wprowadzeniem do bazy innych niż litery i spacja znaków? Tak. Tzn. sama w sobie nie, ale jeśli będzie odpowiednio użyta z funkcją wywołującą zapytanie to tak. Naprawdę masz konieczność takiego ograniczania znaków?
Jeśli chodzi tylko o ochronę przed SQL injection to PDO::prepare w połączeniu z PDOStatement::bindParam jest absolutnie wystarczające, bo zostało stworzone w celu zabezpieczenia przed takim atakiem. Nie trzeba danych dodatkowo filtrować.
Co masz dokładnie na myśli pisząc o zabezpieczaniu?


Tu masz opis wszystkich filtrów: http://www.php.net/manual/en/filter.filters.php. FILTER_SANITIZE_STRING cytuję: "Strip tags, optionally strip or encode special characters." czyli czyści tagi, opcjonalnie czyści lub koduje specjalne znaki. Żeby filtrował te opcjonalne znaki, trzeba dodać odpowiednią flagę (z kolumny "flags" na listingu).

dzięki, chodzi o podstawowe ataki, SQL injection i XSS



Tego za bardzo nie rozumiem, przecież nie można wprowadzić innych znaków po za tymi filtrowanymi przez preg_match

No to sprawa jest prosta. Do skonstruowania zapytania wykorzystaj PDO::prepare, podepnij dane za pomocą PDOStatement::bindParam i wykonaj zapytanie za pomocą PDOStatement::execute. Nic nie trzeba filtrować ani eskejpować. Wszystkie dane są "podpięte" czyli lecą do servera SQL równolegle z zapytaniem a nie w zapytaniu. W tym cała magia PDO - dane nie mają bezpośredniego kontaktu z zapytaniem.
W manualu PHP, za linkami które podałem, są ładne przykłady bindowania.