בדיקת תקינות לפני הכנסה למסד SQL

[O-B]

יש הרבה פונקציות ב PHP שמגנות על מסד ועל קוד PHP מפני כתיבה של HTML,תווים כמו ",' וכו..
אז רציתי לשאול איזה פקודה לדעתכם מגנה הכי טוב מפני דברים כאלה?..

[nevo]

לדעתי פקודה אחת לא מספיקה הייתי הולך על פונקציה שבניתי מזמן שאני משתמש בה כל הזמן:

PHP קוד:

    function fixString( $string ){
        $string = str_replace( '&'  , '&', $string );
        $string = str_replace( ''' , ''', $string );
        $string = str_replace( '"' , '"', $string );
        $string = htmlspecialchars( $string); 
        $string = trim($string); 
        return $string;
    } 


** הפונקציה גם מורידה רווחים כפולים ככה שאם אתה רוצה לבטל את זה תוריד את הtrim

[O-B]

ציטוט:

נכתב במקור על ידי nevo

לדעתי פקודה אחת לא מספיקה הייתי הולך על פונקציה שבניתי מזמן שאני משתמש בה כל הזמן:

PHP קוד:

    function fixString( $string ){
        $string = str_replace( '&'  , '&', $string );
        $string = str_replace( ''' , ''', $string );
        $string = str_replace( '"' , '"', $string );
        $string = htmlspecialchars( $string); 
        $string = trim($string); 
        return $string;
    } 


** הפונקציה גם מורידה רווחים כפולים ככה שאם אתה רוצה לבטל את זה תוריד את הtrim

אוקי תודה עוד הצעות..

[Eli-Hai]

אני אוהב להשתמש ב-strip_tags().

[ShoQER]

אני אישית יוצר פונקציה אחת שמרכזת הרבה פונקציות...כאילו זה לא טוב להשתמש רק באחת כי כל פונקציה מטפלת במקרה יחיד...

[omercnet]

ציטוט:

נכתב במקור על ידי nevo

לדעתי פקודה אחת לא מספיקה הייתי הולך על פונקציה שבניתי מזמן שאני משתמש בה כל הזמן:

PHP קוד:

    function fixString( $string ){
        $string = str_replace( '&'  , '&', $string );
        $string = str_replace( ''' , ''', $string );
        $string = str_replace( '"' , '"', $string );
        $string = htmlspecialchars( $string); 
        $string = trim($string); 
        return $string;
    } 


** הפונקציה גם מורידה רווחים כפולים ככה שאם אתה רוצה לבטל את זה תוריד את הtrim

למה להפוך סימני HTML לתוים אמיתיים, ואז להחזיר אותם בחזרה לתוי HTML עם htmlspecialchars ?

עד היום השתמשתי רק ב mysql_real_escape_string
שזה מסדר לך הכל, ואם אתה רוצה להיות מסודר, תשתמש בquote_smart הבא:

PHP קוד:

function quote_smart($value)
{
   // Stripslashes
   if (get_magic_quotes_gpc()) {
       $value = stripslashes($value);
   }
   // Quote if not a number or a numeric string
   if (!is_numeric($value)) {
       $value = "'" . mysql_real_escape_string($value) . "'";
   }
   return $value;
} 


[The Crow]

http://www.php.net/addslashes