Warning: Cannot use a scalar value as an array in /home/admin/public_html/forum/include/fm.class.php on line 757
Warning: Invalid argument supplied for foreach() in /home/admin/public_html/forum/include/fm.class.php on line 770
Warning: Invalid argument supplied for foreach() in /home/admin/public_html/forum/topic.php on line 737 Форумы портала PHP.SU :: Фильтрация входных данных
Покинул форум
Сообщений всего: 11926
Дата рег-ции: Июль 2009 Откуда: Россия, Санкт-Петербург
Помог: 618 раз(а)
Использовать можно. При том, одной htmlspecialchars достаточно.
Правда, штатной функцией экранирования базы данных лучше тоже прогонять, ей лучше знать, что ещё экранировать надо.
Ну а stripslashes лучше применять только в условии:
Покинул форум
Сообщений всего: 11926
Дата рег-ции: Июль 2009 Откуда: Россия, Санкт-Петербург
Помог: 618 раз(а)
Там вообще механизм другой передачи значений, экранирование и не нужно.
----- PostgreSQL DBA
Зверь
Отправлено: 26 Ноября, 2011 - 11:09:31
Частый гость
Покинул форум
Сообщений всего: 243
Дата рег-ции: Окт. 2011
Помог: 7 раз(а)
И еще вопросец
Как лучше хранить данные: фильтровать и добавлять в базу или добавлять и при выводе фильтровать?
Мелкий
Отправлено: 26 Ноября, 2011 - 11:53:28
Активный участник
Покинул форум
Сообщений всего: 11926
Дата рег-ции: Июль 2009 Откуда: Россия, Санкт-Петербург
Помог: 618 раз(а)
В общем-то, если не нужен оригинал данных - то сначала обрабатывать.
----- PostgreSQL DBA
xhugo
Отправлено: 29 Ноября, 2011 - 21:42:35
Посетитель
Покинул форум
Сообщений всего: 357
Дата рег-ции: Дек. 2010
Помог: 1 раз(а)
1) нет. но достаточно и htmlspecialchars(strip_tags($param));
2) конечно же сначало фильтровать, а потом только добавлять. и такая функция не спасет при добавление данных в базу
animen
Отправлено: 19 Февраля, 2012 - 15:25:38
Новичок
Покинул форум
Сообщений всего: 13
Дата рег-ции: Июль 2011
Помог: 0 раз(а)
Подскажите, а вот такая функция проверки данных перешедших из формы от пользователя будет лучше и надежнее, чем функция в начале темы?
То есть очистит ли это поступающие данные перед сохранение в БД и предотвратит ли это от стандартных sql инъекций?
Все гости форума могут просматривать этот раздел. Только зарегистрированные пользователи могут создавать новые темы в этом разделе. Только зарегистрированные пользователи могут отвечать на сообщения в этом разделе.