Mam pytanie dotyczące zabezpieczania skryptów. Gdy tworzę skrypty przy pobieraniu rekordów z bazy zabezpieczam skrypt używając mysql_real_escape_string ($zmienna); czy to jest w pełni bezpieczne przed atakami lub chociaż trochę zabezpiecza skrypt.
Gdzieś przy jakimś skrypcie widziałem
strip_tags(htmlspecialchars(mysql_real_escape_string()));
i teraz najważniejsze pytanie
Czy ten kod lepiej zabezpiecza skrypt czy tak naprawdę wygląda na ten który lepiej zabezpieczy.

Nie, lepiej on nie zabezpiecza -

strip_tags - usuwa znaczniki html
htmlspecialchars - zamienia znaki charakterystyczne dla html na tzw. encje


Sorry, ale CO? Chcesz zabezpieczać dane z bazy danych funkcją, która chroni przed SQL Injection? Toż to bez sensu.

Może chodziło ci o XSS? Wtedy te dwie funkcje opisane przed chwilą zdają egzamin, chociaż tak naprawdę, można użyć tylko jednego - brak znaczników html wyklucza zamienianie ich na encje i odwrotnie

O zabezpieczeniach wiem niewiele.
Wyczytałem gdzieś o tej funkcji mysql_real_escape_string ($zmienna);
Więc używam jej gdy pobieram dane z bazy.
W najbliższym czasie będe musiał przestudiować zabezpieczenia.

Temat do zamknięcia

http://www.uw-team.org/videoarty_security.html

masz tu 13filmików o atakach oraz mówią jak je zabezpieczać polecam