Достатъчна ли е защитата?

[purko]

Проверявам с eregi() и там разрешавам само букви, цифри и някои знаци, но не всички. Достатъчно ли е това?
Имам предвид нуждая ли се от addslashes() или htmlspecialchars()?

 

[raiden]

Разреши знаците които се обработват от htmlspecialchars и ако се премине проверката за знаците минаваш низа и с htmlspecialchars. От там вече няма за какво да се тревожиш. И все пак в зависимост от знаците които си разрешил може и да не трябва htmlspecialchars. Например ако си разрешил [ ] ^ ! . @ , _ - и такива не е проблем

 

[purko]

Разрешил съм само
;:*.?!,)(-_ [:space:]

Кои още мога да разреша за да няма проблеми?
Кавички може ли да разреша?

 

[raiden]

Ако ги разрешиш ще трябва задължително да минаваш през htmlspecialchars

 

[antique]

Хората са измислили htmlspecialchars това е може би най добрият начин за защита поне според мен :

$query = sprintf("INSERT INTO posts (title, message, created, image) values ('%s', '%s', NOW(), '%s' )",

mysql_real_escape_string($title,$connection),
mysql_real_escape_string($message,$connection),
mysql_real_escape_string($target_folder,$connection)

);

 

[MontefuckeR]

Проверявам с eregi() и там разрешавам само букви, цифри и някои знаци, но не всички. Достатъчно ли е това?
Имам предвид нуждая ли се от addslashes() или htmlspecialchars()?

eregi() Отпада при пхп6, ползвай preg_match

 

[thedead]

Проверявам с eregi() и там разрешавам само букви, цифри и някои знаци, но не всички. Достатъчно ли е това?
Имам предвид нуждая ли се от addslashes() или htmlspecialchars()?

eregi() Отпада при пхп6, ползвай preg_match

добре казано и на мен ще ми помогне

 

[purko]

И какъв е извода?
Че трябва да ги преминавам и през htmlspecialchars?

 

[federer_11]

Най-добре през htmlspecialchars да ги преминаваш, аз така правя :?: