Hva bruker dere for å fjerne "farlige" tegn i form

[shagg0r]

Som topic sier hva bruker dere for å fjerne html kode, php kode osv fra forms før dere eventuelt lagrer dataene i databasen eller feilkontrolerer dataene? Jeg har brukt strip_tags(), men er usikker på om det er godt nok?

Endret 8. november 2004 av shagg0r

[Loomy]

Jeg bruker stort sett strip_tags() og mysql_escape_string(). Evt. i kombinasjon med ting som htmlentities() og htmlspecialchars() for å hindre at man kan legge inn f,eks tvilsomme javascripts i dataen.

Endret 8. november 2004 av Loomy

[christt]

Jeg bruker å sjekke at input'n er av det formatet jeg ønsker. Bruker funksjoner som is_int(), intval(), is_numeric() alt ettersom. Hvis typen er feil gir jeg beskjed til brukeren. Du bør sørge for at alltid du vet at det du får inn er av den typen du ønsker.

 

Ellers så er funksjoner som addslashes(), mysql_real_escape_string(), htmlentities(), osv hendige når det kommer til å lagre data som inneholder HTML, e.l. Det er selvfølgelig litt avhengig av serveroppsett: magic_quotes, etc.

[jorgis]

Kjører alt gjennom en egenmekket user_input_int()/user_input_annentype()-funksjon som tar brukerinput, sjekker det mot typen som er spesifisert (via is_int(), is_numeric() osv.), og prøver å omdanne hvis det er mulig. F.eks. kan strengen "5171" lett omdannes til tallet 5171.

 

I tillegg kjøres htmlspecialchars() og andre ting som avhenger av hva dataene skal brukes til.

[hm87]

Så en funksjon, eller det var kanskje noe ereg greier,

men den sjekka om inputten var en angitt lengde

og om det inneholdt spesielle tegn..

Noen som har den koden?