Witam,

Moj pierwszy post na tym forum.
W jaki sposob prawidlowo przygotowac dane do zapisu w bazie? Dane pochodza od uzytkownika z formularza.
Czy wystarczy cos takiego:

[PHP] pobierz, plaintext 
<?php
$comment = filter_input(INPUT_POST, 'comment', FILTER_SANITIZE_STRING);
?>
[PHP] pobierz, plaintext 

... i juz mozna wrzucac do bazy, czy tez przed wyslaniem do bazy nalezy jeszcze stosowac mysql_real_escape_string

[PHP] pobierz, plaintext 
<?php
$coment = mysql_real_escape_string($comment);
?> 
[PHP] pobierz, plaintext 

"Magic Quotes" jest wylaczone.
Jaki jest prawidlowy sposob?

Jak dla mnie oba są dobre - razem. Mysql_escape_string odfiltrowuje pewne groźne znaki w sql których np. filter_var nie rusza (chyba że w jakiejś niecodziennej kombinacji filtrów) np. znaki nowej linii. Generalnie mam taką zasadę że wszystko co wstawiam do bazy przelatuję ichniejszym escapem - nadmiar paranoi nie zaszkodzi.