Pomoc - Szukaj - Użytkownicy - Kalendarz
Pełna wersja: [PHP] [MySQL] FILTER_SANITIZE_STRING i mysql_real_escape_string
Forum PHP.pl > Forum > Przedszkole
korowiov
Witam,

Moj pierwszy post na tym forum.
W jaki sposob prawidlowo przygotowac dane do zapisu w bazie? Dane pochodza od uzytkownika z formularza.
Czy wystarczy cos takiego:

  1. <?php
  2. $comment = filter_input(INPUT_POST, 'comment', FILTER_SANITIZE_STRING);
  3. ?>


... i juz mozna wrzucac do bazy, czy tez przed wyslaniem do bazy nalezy jeszcze stosowac mysql_real_escape_string

  1. <?php
  2. $coment = mysql_real_escape_string($comment);
  3. ?>


"Magic Quotes" jest wylaczone.
Jaki jest prawidlowy sposob?

everth
Jak dla mnie oba są dobre - razem. Mysql_escape_string odfiltrowuje pewne groźne znaki w sql których np. filter_var nie rusza (chyba że w jakiejś niecodziennej kombinacji filtrów) np. znaki nowej linii. Generalnie mam taką zasadę że wszystko co wstawiam do bazy przelatuję ichniejszym escapem - nadmiar paranoi nie zaszkodzi.
To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę kliknij tutaj.
Invision Power Board © 2001-2025 Invision Power Services, Inc.