проверка данных POST

здравствуйте
есть поле в форме для ввода комментария
нужно проверить текст

после отправки использую функ nl2br() для разделения строк она вставляет /бр

какой функцией или ещё чем мне проверять текст для защиты приложения и бд от потенциальных рисков?
на данные момент думаю применить strip_tags ( string str [, string allowable_tags] )
указав в качестве необязательного параметра </br>
но данная функция походу игнорирует незавершённые теги или теги с ошибками

какие ещё варианты или этого вполне достаточно?

htmlspecialchars(string $str);
преобразит кавычки скобки и др. в html представление.

broshurkaplus, базе данных, если это, конечно, не xml, вообще пофиг на тэги.
Говоря о MySQL, используйте mysql_real_escape_string для защиты от sql-инъекций и htmlspecialchars для защиты от XSS - вполне достаточно.

-----
PostgreSQL DBA

Кстати...
Говорят что в php4 (или 3?) эта ф-ция возвращала <br>
А с некоторой версии стала возвращать <br />
Так вот у меня рнр-5.2.10 и чота возвращает она по старинке <br>

К чему бы это?

-----
Шта? Репозиторий?

может баГ))

скорее сборка такая... Он же не из сорцов - он из репозитария

-----
Шта? Репозиторий?

5.1.1 <br/>

-----
Если вы хотя бы 3-4 раза не решите всё выкинуть и начать заново - вы явно что-то делаете не так.

broshurkaplus Для осуществления поддержки безопасности предполагамеого web-приложения, необходимо проведение операции модификации уровня элементного трактования относительно разделительных и управляющих объектов для полученных информационных полей, которое в аспекте использование HTML-синтаксиса может быть обеспечено функцией htmlentities, однако для осуществления гарантированной защиты требуется предшествующее сопоставление кодовых таблиц, используемых для размещения данных информационных полей в слое данных

-----
Сделать можно все что угодно - нужно только старание, терпение и хороший поисковик
Безлимитный web-хостинг от 15 рублей за 40 МБ дискового пространства - http://ihost[dot]oks71[dot]ru/

спасибо всё понятно

str И он ей говорит :
- Привет!
Она : "Привет."

делаю так
$_POST[str]= mysql_real_escape_string($_POST[str])
$_POST[str]= htmlspecialchars($_POST[str])
$_POST[str]=nl2br($_POST[str]);

ДУМАЮ ЭТОГО КОДА БУДЕТ ДОСТАТОЧНО???

далее вставляем в базу и будет:

И он ей говорит :<br />
- Привет!<br />
Она : "Привет."<br />

смущает то что если пользователь вместо " использует 'и' тоне выдаст ли \'\'
что некорректно отобразится при выдаче контента пользователю ?

да простите за суматоху у меня nl2br добавляет <br />, не так / поставил.

Смотря где смотреть. До сохранения в базе - будет экранирование. При извлечении данных - не будет.

Да, этих 3-х функций вполне достаточно.
Только к элементам ассоциативного массива обращайтесь так: $_POST['str'], ключ в кавычки надо заключать. Правильнее и ошибок не будет, если вдруг объявите константу с именем, совпадающем с именем ключа.

-----
PostgreSQL DBA

поставил в скрипт
$_POST[str]= mysql_real_escape_string($_POST[str])
$_POST[str]= htmlspecialchars($_POST[str])
$_POST[str]=nl2br($_POST[str]);

а он из базы при таком порядке функций возвращает всё в одну строку, в базе нет <br />
хотя при просмотре кода страницы строки отображаются как надо и <br /> нету

может порядок функций изменить ? ща попробую
в чем дело?
(Добавление)
да, эти функции защищают, но мне нужно из базы выводить данные с <br /> для отображения новых строк, а при таком- строки выводятся в одну строку! хотя по идее мы ведь сначала делаем преобразования а затем добав. <br />
может есть другая функ вместо nl2br
а то данные выводятся не корректно, браузер - хром
как поступить?

broshurkaplus надо понимать зачем каждая функция, а не тупо липить всё в подряд.
А в одну строку пишет потому что \n заменяется на <br>

-----
Если вы хотя бы 3-4 раза не решите всё выкинуть и начать заново - вы явно что-то делаете не так.

можно тут поподробнее

я уже почитал про функции. нужно ведь и защититься и вывести в нужном формате

если не использовать nl2br, то в бд строки отдельно а на странице всё в одну,
а так мы переводим стоку в обязательном порядке
наскоко помню nl2br добавляет <br/> перед каждым переводом строки
(как добавить \n- новая строка при выводе из базы)


?

(Отредактировано автором: 04 Марта, 2011 - 19:31:41)

Защищатся и выводить в нужном формате это разные вещи.
mysql_escape_string() - от sql
htmlspecialchars() - от xss
не как не меняют вывод.

Немножко не верно описано, она не добавляет а заменяет \n на <br/>.
Если нужно оставить \n можно использовать str_replace()

-----
Если вы хотя бы 3-4 раза не решите всё выкинуть и начать заново - вы явно что-то делаете не так.

блин

подскажите как правильно использовать
уже устал пробовать
в бд строки разделены, в при выводе значения поля запросом из бд все строки слитно!