Chciałbym jak najlepiej zabezpieczyć moje skrypty, nie wiem czy użyć htmlspecialchars czy addslashes, różnice znam, pytanie tylko, które kiedy zastosować, czy przy czytaniu rekordow z bazy, czy przy formularzach POST, czy jak dostaje informacje metoda GET?

addslashes powinno sie dawać przy wszystkim co wchodzi w skład zapytania i co jest napisane przez użytkoownika

przy bazie danych zainteresuj sie mysql_real_escape_string

Przy dodawaniu do bazy użyj
mysql_real_escape_string

Prz odbieraniu danych z formularza sprawdzaj co użytkownik przesyła np czy podaje poprawny emial

[PHP] pobierz, plaintext 
<?php
if (!preg_match("/^[-0-9A-Z_.]{1,50}@([-0-9A-Z_.]+.){1,50}([0-9A-Z]){2,4}$/i", $_POST['emial'])) {
echo 'Nie poprawny emial';
}
?>
[PHP] pobierz, plaintext 

Przy $_GET sprawdzasz także typ danych np czy zmienna jest liczbą odraz czy istniej i jeśli nie przekierowujesz na gówna stronę ( np gdy przekazujesz id kategorii a ktoś zamiast liczby wstawi coś innego)

[PHP] pobierz, plaintext 
<?php
if (!isset($_GET['test']) || !preg_match("/^[0-9]+$/", $_GET['test']) { header("Location: ".str_replace("&amp;", "&", "index.php"); }
?>
[PHP] pobierz, plaintext 

Używaj także trim do usuwanie spacji

Sprawdzasz czy np podasz rejestracji nazwa uzytkownika jest poprawna czy uzytkownik nie podał nie dozlownych znaków itp

Możesz też użyć strip_tags

Możesz użyc do spradzania danych z formualrza takiej funkcji

[PHP] pobierz, plaintext 
<?php
function sprawdz($dane) {
$dane = trim($dane); 
if (get_magic_quotes_gpc()) $dane = stripslashes($dane); 
$dane = htmlspecialchars($dane, ENT_QUOTES); 
return $dane; 
}
?>
[PHP] pobierz, plaintext 

Możesz tez uzyc takiej funckji do zamiany nie pożadanych znaków

Postępowałem zgodnie z manualem i chciałem się zapytać czy w takim razie zapytanie powinno wygladać tak:

[PHP] pobierz, plaintext 
<?php
$login = $_POST['login'];
$pass = $_POST['pass'];
 
  $query = "SELECT * FROM uzytkownicy " .
           "WHERE login = '%s' " .
           "AND pass = '%s'",
           mysql_real_escape_string($login),
            mysql_real_escape_string($pass);
?>
[PHP] pobierz, plaintext 

[PHP] pobierz, plaintext 
<?php
$login = trim($_POST['login']);
$pass = trim($_POST['pass']);
$query = mysql_query("SELECT * FROM uzytkownicy WHERE login='".mysql_real_escape_string($login)."' AND pass='".mysql_real_escape_string($pass)."'");
?>
[PHP] pobierz, plaintext 

http://www.beldzio.com/kategoria/bezpieczenstwo

Jeszcze się chciałem spytać, co robić jeśli w niektórych danych wysyłanych muszą być spację np. "Opis" albo jakieś pole "O mnie". Co robić wtedy? trim() usunie mi wszystkie spacje, a to niezbyt wchodzi w grę, w takich sytuacjach dawać htmlspecialchars lub addslashes? Czy trim() chroni mnie przed próbą rozjechania strony jakimś kodem?

przed kodem html/js to htmlspecialchars() , przed długim stringiem bez spacji to wordwrap() , przed sql injection mysql_real_escape_string()

w przypadku ytf8

[PHP] pobierz, plaintext 
<?php
$var = htmlspecialchars( strip_tags( $var ), ENT_QUOTES, 'UTF-8' );
?>
[PHP] pobierz, plaintext 

w przypadku nie utf8 bez ostatniego parametru co do trim( ) to usuwane sa tylko skrajne spacje a nie wszystkie