Форум PHP

Правильно ли так обрабатывать посты?

$smoker = substr($_POST["smoker"],0,32);
$smoker = mysql_escape_string(stripslashes($smoker));

и правильно ли вот так принимать переменную?
$idm=htmlspecialchars(stripslashes($_GET["idm"]));

запуталась совсем - когда htmlspecialchars когда mysql_escape_string

mysql_escape_string - на входе в базу данных если отключены маг. кавычки.

htmlspecialchars(stripslashes... - при выводе из бд

что ж это такое то....

>Правильно ли так обрабатывать посты?

нет.

strip_slashes() применяется ко входным аргументам ( элементам массивов $_GET, $_POST , $_COOKIE и $_REQUEST) в случае включенных magic_quotes. Включены ли magic quotes можно проверить с помощью функции get_magic_quotes_gpc()


mysql_escape_string() вызывается непосредственно перед обрамлением текстовых строк апострофами, при формированнии текста SQL-запроса - во всех случаях.

htmlspecialchars() вызывается перед выводом текстовых данных в гипертекстовый поток. Грубо говоря - в HTML

Trianon, поясните пожалуйста, зачем все-таки для входных stripslashes

psychomc, Вы читать умеете? o_O

stripslashes() применяется ко входным аргументам ( элементам массивов $_GET, $_POST , $_COOKIE и $_REQUEST) в случае включенных magic_quotes. Включены ли magic quotes можно проверить с помощью функции get_magic_quotes_gpc()

а зачем?

Может стоит почитать что делает та или иная функция? А потом, если будет что то непонятно, спрашивать.
Человек уже ответил более чем исчерпывающе.
UP. А пофиг.. Не видел что ниже всё таки ответили)))

затем, чтобы вернуть данные, искаженные механизмом magic quotes, в исходное состояние.

о как чётко! спасибо, теперь понял ))

спасибо большое. !!!