Witam, jakich uzyć funkcji, aby dane wprowadzane do bazy poprze form były bezpieczne?

czytałem ze mysql_real_escape_string do zapisu do bazy uzywać.
a do wypisywania z bazy uzywac stripslashes co pozwoli na wypisanie tekstu bez slashy i wszystko będzie "bezpieczne"

Czy takie rozwiązanie pozwoli ochronić się przed atakami sql?

Na forum było dużo takich tematów, na google jeszcze więcej,
np http://www.webinside.pl/php/artykuly/197 (Filtracja danych)

Z tego co doczytałem się, filtracja poprzez addslashes / stripslashes daje bezpieczeństwo

mysql_real_escape_string" title="Zobacz w manualu PHP" target="_manual i mysql_escape_string" title="Zobacz w manualu PHP" target="_manual, te dwie dopiero dają bezpieczeństwo

czym one się różnia w praktyce?

pierwszy dostosowuje do kodowania użytego w aktualnym połączeniu zestaw znaków używany jako wzorzec dla escapowania, drugi używa wzorca ogólnego, pierwszy wymaga aktywnego połączenia z bazą drugi nie (można wykonywać escapowanie jeszcze przed nawiązaniem połączenia [mysql_connect/mysql_pconnect]) a dane wyjściowe czyli to co wyciągasz z bazy i ślesz użytkownikowi filtrowałbym pod kątem xss (można to oczywiscie robić także na etapie dodawania do bazy)

Pod katem XSS filtrujemy htmlspecialchars??

ale po dodaniu slash przy wyciąganiu i tak trzeba dac stripslashes inaczej będzie źle pokazywane.

Dobry trop czy raczej źle poszedłem ?

w pewnym sęsie tak - ale nie do końca google ->xss a zrozumiesz czym to jest a co do pytań o funkcje php to ich wszystkie właściwości opisane są w manualu

więc chyba już doczytałem.

Przy wstawianiu do bazy używać mysql_real_escape_string

Do wypisywania dawać stripslashes(strip_tags(...));

i jeszcze taki warunek dla magic_quotes_gpc

[PHP] pobierz, plaintext 
<?php
$content = (! get_magic_quotes_gpc ()) ? mysql_real_escape_string
 ($content) : $content;
?>
[PHP] pobierz, plaintext 

dzieki temu uniknę sql injection oraz xss?

ja bym raczej sugerował wyłączyć zawsze na starcie magic quotes (po sprawdzeniu oczywiscie) a filtrować dane wedle potrzeby zawsze

Ale nie zawsze jest możliwość wyłączenia niestety:/

napisałem takie coś, jest bezpieczne?:

[PHP] pobierz, plaintext 
<?php
function val_in ($content) {
  $content = (! get_magic_quotes_gpc ()) ? mysql_real_escape_string ($content) : $content;
  return $content;
}
 
function val_out ($content) {
  $content =  strip_tags (stripslashes($content));
  return $content;
}
?>
[PHP] pobierz, plaintext 

zawsze jest możliwość wyłączenia (jesli magic gpc jest włączone to filtruje tablice wejściowe get/post/cookie wywalając slashe i tym samym wyłączam gpc - dzieki temu nie musze później 100 razy sprawdzac tego czy jest włączony gpc czy nie a filtruję to co jest mi potrzebne

$content = (! get_magic_quotes_gpc ()) ? mysql_real_escape_string ($content) : $content;

To tego nie robi?

w pwenym sięsie tak ale nie do końca - poczytaj w manualu jakie znaki są escapowane przez mysql_real_escape_string a jakie przez magic quotes qpc

a możesz pokazać jakim ty kodem filtrujesz
Będę wdzięczny

no już napisałem - zdejmujemy przez założone przez gpc (jesli są slashe)

[PHP] pobierz, plaintext 
<?php
if (get_magic_quotes_gpc()){
	array_walk_recursive($_POST,"gpc_prepare");
	array_walk_recursive($_GET,"gpc_prepare");
	array_walk_recursive($_COOKIE,"gpc_prepare");
}
 
function gpc_prepare(&$value){
	$value=stripslashes($value);
}
?>
[PHP] pobierz, plaintext 

a później czy to strip_tags czy htmlspecialchars, czy też odpowiednio przygotowanymi funckjami bazującymi na regexp czy innym w razie koniecznośi i w zależności od potrzeby filtruję dane

czyli moja funkcja zadziała prawidłowo na próbę ataku ?

jak już pisałem - czysto teorytycznie tak - w praktyce to zależy jeszcze od tego jak jej użyjesz i musisz zdawać sobie sprawę z tego jakie niedogodności niesie to za sobą