Witam, jak najlepiej filtrować zmienne które idą POST'em do bazy lub są jednym z kryteriów szukania w bazie ? W tym momencie mam coś takiego
htmlspecialchars(stripslashes(trim($_POST['zmienna'])), ENT_QUOTES);
ale nie wiem czy to będzie spełniało swoją rolę i czy lepiej użyć czegoś innego ?
Pełna wersja: [MySQL][PHP] Filtracja $_POST
Było setki razy. Gorąco polecam przypięty temat.
Toś mi pomógł ... nie ma co ... Nie potrzebuję definicji żadnych tylko odpowiedź czy htmlspecialchars(stripslashes(trim($_POST['zmienna'])), ENT_QUOTES); jest OK czy używać czegoś innego ...
Tam jest odpowiedź na Twoje pytanie, wystarczy przeczytać wątek, nawet nie cały.
A skoro Ty to wiesz to nie możesz mi tego napisać ? Bardzo ładnie proszę. bo oglądam ten wątek i nic takiego nie widzę tam
Nikt nie podpowie ?
Nikt nie podpowie ?
Moim zdaniem wrzucanie danych przefiltrowanych htmlspecialchars do bazy to bardzo zły pomysł, bo tracisz informację o oryginalnej strukturze wpisu. (co i tak większość klepaczy kodu - NIE programistów - olewa).
Dla mnie stripslashes + mysql_real_escape_string.
Dla mnie stripslashes + mysql_real_escape_string.
OK 
Bardzo dziękuję za tą odpowiedź O to mi chodziło 
Takie upewniające się pytanie
Czy to wystarczy przed różnymi nieautoryzowanymi próbami wyciągnięcia czegoś z bazy ?
Bardzo dziękuję za tą odpowiedź O to mi chodziło Takie upewniające się pytanie
Czy to wystarczy przed różnymi nieautoryzowanymi próbami wyciągnięcia czegoś z bazy ?
Z mysql_real_ascape_string masz 100% pewności, że nikt nie wyciągnie nic z bazy przez - w Twoim przypadku - dane pole wysłane przez POST. A to dlatego, że cokolwiek wpisze, zostanie wstawione do zapytania jak zwykły tekst.
OK Bo wyczytałem że wykonanie stripslashes po mysql_real_escape_string zwraca string taki jakby bez filtracji Ale to jak jest stripslashes(mysql_real_escape_string($string))
a tutaj podałeś mysql_real_escape_string(stripslashes($string)) A mam jeszcze takie jedno pytanie na przyszłość Czy gdy wstawię jakiś edytor wysiwyg i kod który on wygeneruje będę chciał wstawić do bazy to też używać mysql_real_escape_string(stripslashes($string)) czy w takim wypadku czegoś innego ?
Bo wyczytałem że wykonanie stripslashes po mysql_real_escape_string zwraca string taki jakby bez filtracji Ale to jak jest stripslashes(mysql_real_escape_string($string))a tutaj podałeś mysql_real_escape_string(stripslashes($string))
A mam jeszcze takie jedno pytanie na przyszłość Czy gdy wstawię jakiś edytor wysiwyg i kod który on wygeneruje będę chciał wstawić do bazy to też używać mysql_real_escape_string(stripslashes($string)) czy w takim wypadku czegoś innego ?
Masz rację -
Tak, edytory WYSIWYG generują normalne łańcuchy znaków - możesz się nimi posługiwać tak samo.
nie miałoby najmniejszego sensu. To jak dać cukierek, by zaraz go odebrać
Tak, edytory WYSIWYG generują normalne łańcuchy znaków - możesz się nimi posługiwać tak samo.
OK w takim razie jeszcze raz wielkie dzięki
Jeszcze jedno pytanie Bo jak wpiszę coś w textarea i użyje np. entera do przejścia do nowej linii i jak to potem ładuję na stronę to jest wszystko w jednej linii i muszę użyć nl2br() do tego ... da się jakoś zrobić żeby tego nl2br() nie używać? czy lepiej używać ?
w takim razie jeszcze raz wielkie dzięki Jeszcze jedno pytanie
Bo jak wpiszę coś w textarea i użyje np. entera do przejścia do nowej linii i jak to potem ładuję na stronę to jest wszystko w jednej linii i muszę użyć nl2br() do tego ... da się jakoś zrobić żeby tego nl2br() nie używać? czy lepiej używać ?
Lepiej używać 
Co Ci się nie podoba w nl2br? Zawsze możesz wstawić wpis z textarea między znaczniki <pre>, ale to nie najrozsądniejsze rozwiązanie.
Co Ci się nie podoba w nl2br? Zawsze możesz wstawić wpis z textarea między znaczniki <pre>, ale to nie najrozsądniejsze rozwiązanie.
Wszystko mi się w niej podoba Wszystko jest OK THX
Wszystko jest OK THX
To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę kliknij tutaj.