Piszę skrypt, który dodaje newsy do bazy danych - pola, które podlegają weryfikacji to: temat, tresc, zdjecie, autor. Zanim wartosci tych pol wprowadzi sie do bazy danych nalezy je wczesniej przefiltrowac aby uniknac nieporozumien.

Mam taka instrukcje:

[PHP] pobierz, plaintext 
<?php
 
if (strlen($_POST['temat']) < 1 )
{
echo 'Prosze wcisnac wstecz i wpisac temat';
}
elseif (strlen($_POST['tresc']) < 1)
{
echo 'Prosze wcisnac wstecz i wpisac tresc';
}
elseif (strlen($_POST['autor']) < 1)
{
echo 'Prosze wcisnac wstecz i wpisac autora';
}
else
{
/* dodawanie wpisu */
}
 
?>
[PHP] pobierz, plaintext 

Zdaje sobie sprawe ze instrukcja ta jest malo efektywna i sprawdza tylko czy pola zostaly wypelnione... trzeba jeszcze wprowadzic sprawdzanie nieprawidlowych znakow (&,*,%, spacja, polskie znaki itd), maksymalna ilosc znakow dla autora (20), a takze zabezpieczenie sie przed HTML'em. Pytanie moje takie: jak ma wyglądać taka instrukcja, żeby spełniała powyższe założenia i skrypt był bezpieczny?

[PHP] pobierz, plaintext 
<?
else
{
//czyszczenie wpisanych danych
$_POST['temat'] = addslashes(strip_tags($_POST['temat']));
$_POST['tresc'] = addslashes(strip_tags($_POST['autor']));
$_POST['tresc'] = addslashes(strip_tags($_POST['tresc']));
/* dodawanie wpisu */
}
?>
[PHP] pobierz, plaintext 

Pamiętaj, aby przy pobieraniu danych z bazy użyć na nich stripslashes().
Poza tym polecam lekturę:
strip_tags" title="Zobacz w manualu php" target="_manual
htmlspecialchars" title="Zobacz w manualu php" target="_manual
htmlentities" title="Zobacz w manualu php" target="_manual
addslashes" title="Zobacz w manualu php" target="_manual
stripslashes" title="Zobacz w manualu php" target="_manual

Mozesz tez zastosowac weryfikacje w bazie danych np korzystajac z funkcji i sprawdzac czy dane sa prawidlowe. Najlepiej stosowac podwojna walidacje danych.