ציטוט:
נכתב במקור על ידי nevo
לדעתי פקודה אחת לא מספיקה הייתי הולך על פונקציה שבניתי מזמן שאני משתמש בה כל הזמן:
PHP קוד:
function fixString( $string ){
$string = str_replace( '&' , '&', $string );
$string = str_replace( ''' , ''', $string );
$string = str_replace( '"' , '"', $string );
$string = htmlspecialchars( $string);
$string = trim($string);
return $string;
}
** הפונקציה גם מורידה רווחים כפולים ככה שאם אתה רוצה לבטל את זה תוריד את הtrim |
למה להפוך סימני HTML לתוים אמיתיים, ואז להחזיר אותם בחזרה לתוי HTML עם htmlspecialchars ?
עד היום השתמשתי רק ב mysql_real_escape_string
שזה מסדר לך הכל, ואם אתה רוצה להיות מסודר, תשתמש בquote_smart הבא:
PHP קוד:
function quote_smart($value)
{
// Stripslashes
if (get_magic_quotes_gpc()) {
$value = stripslashes($value);
}
// Quote if not a number or a numeric string
if (!is_numeric($value)) {
$value = "'" . mysql_real_escape_string($value) . "'";
}
return $value;
}