| |
|
|
| | Здравствуйте форумчане!
есть один небольшой вопрос, потому как никак не могу определиться в правильности и целесообразности: вот такой обработки
$name = mysql_escape_string(trim(strip_tags($_POST['name'])));
|
хватит для безопасного помещения в БД или тут что то лишнее? вообще необходимо поместить только хтмл!
Спасибо за будующие ответы:) | |
| |
|
|
| |
|
|
| |
для: Spenser
(27.10.2009 в 16:08)
| | | 1. >вообще необходимо поместить только хтмл!
Эта обработка уничтожает все HTML-тэги при помощи функции strip_tags().
2. > mysql_escape_string(trim(strip_tags($_POST['name'])));
Если включен режим магических кавычек и если вы заранее не устраняете последствия работы этого режима, то возможно повторное экранирование кавычек - сначала магическими кавычками, а потом функцией mysql_escape_string().
PS А какова цель обработки - какие данные подвергаются ей? | |
| |
|
|
| |
|
|
| |
для: cheops
(27.10.2009 в 17:10)
| | | цель самая простая, пользователь оставляет отзывы о товаре и отзыв должен содержать только текст, ну и конечно на будущее чтобы знать:) а проверку на режим магических ковычек я делаю, просто не написал:
if (!get_magic_quotes_gpc())
{
$author = mysql_escape_string(trim(strip_tags($_POST['author'])));
}
|
| |
| |
|
|
| |
|
|
| |
для: Spenser
(27.10.2009 в 17:46)
| | | trim можно убрать, при вставке в MySQL пробелы обрезаются автоматически.
А функцию strip_tags() можно обмануть, лучше при выводе из базы пропускать данные через htmlspecialchars()
Лучше всего, я думаю так:
<?
if (get_magic_quotes_gpc())
{
$_POST['author'] = stripslashes($_POST['author']);
}
$author = mysql_escape_string($_POST['author']);
?>
|
| |
| |
|
|
