Od dłuższego czasu we wszystkich swoich projektach korzystam z takiego kodu:

[PHP] pobierz, plaintext 
 
function stripslashes_deep($value) {
	$value = is_array($value) ?
	array_map('stripslashes_deep', $value) :
	stripslashes($value);
	return $value; }
function addslashes_deep($value) {
		$value = is_array($value) ?
		array_map('addslashes_deep', $value) :
		addslashes($value);
		return $value; }
function html_deep($value) {
	$value = is_array($value) ?
	array_map('html_deep', $value) :
	htmlspecialchars(strip_tags($value));
	return $value; 
}
 
if (get_magic_quotes_gpc()) {
	$_POST = array_map('stripslashes_deep', $_POST);
	$_GET = array_map('stripslashes_deep', $_GET);
	$_COOKIE = array_map('stripslashes_deep', $_COOKIE);
}
$_POST = array_map('addslashes_deep', $_POST);
$_POST = array_map('html_deep', $_POST);
$_GET = array_map('addslashes_deep', $_GET);
$_GET = array_map('html_deep', $_GET);
$_COOKIE = array_map('addslashes_deep', $_COOKIE);
$_COOKIE = array_map('html_deep', $_COOKIE);
 
[PHP] pobierz, plaintext 

Chciałbym się dowiedzieć czy rozwiązanie z którego korzystam zapewnia bezpieczeństwo przed SQLinjection i XSS


Z góry dziękuję

Takie popularne forum i nikt nie jest w stanie udzielić odpowiedzi?

Dużo osób popiera akcję "Jesteś zbyt leniwy, żeby się zarejestrować, ja jestem zbyt leniwy żeby Ci odpisać"

Bezpieczeństwo przed SQLinjection zapewnia PDO.
A przed xss odpowiednie natywne funkcję php, nie ma imho potrzeby pisania jakichś dodatkowych.

Jak dla mnie to zapewnia całkowitą ochronę.

W końcu dla wszystkich wartości $_GET, $_POST i $_COOKIE zostanie przeprowadzone htmlspecialchars i strip_tags (html) oraz addslashes (mysql). Nie wiem tylko jak się zachowa taka funkcja gdy przesłana zostanie tablica (np. z listy wyboru). $_GET['field'] = array(2,4,5,6);

EDIT:
a nie, nie zauważyłem, przesłane tablice również są filtrowane.