Er denne sikker mot sql-injection?

[PS_CS4]

function filter(&$item) {

 if (is_array($item)) foreach ($item as &$element) filter($element);

 else $item =  str_replace(str_split(&quote;=+()*\\/&quote;), NULL,  htmlentities($item, ENT_QUOTES, &quote;ISO-8859-1&quote;,  TRUE));  
  }

 

Også skrive: filter($_REQUEST) ; ??

 

Er denne sikker?

Sperren den URL'en som blir skrevet ?

[Equerm]

Jeg legger til et spørsmål i denne tråden. Er mysql_real_escape_string() sikker å bruke?

[OIS]

Du bør kun bruke mysql_real_escape_string på data før det skal legges til SQL spørringen. Og du bør kun escape HTML chars før du skal skrive det ut til klienten. Skal du legge til tall til sql spørringen bør disse kontrolleres med is_int, (int) eller filter_var.

 

Du kan sjekke ut linken i signaturen min angående SQL injection cheat sheet.

 

Det er sikrere å bruke prepared statements i PDO then mysql_ funksjonene.