Forum PHP.pl

jestem w trakcie zabezpieczania swojego skryptu php. napisałem taką funkcję:

[PHP] pobierz, plaintext 
	function ppts($input)
	{
    	$input2 = addslashes($input);
        $input3 = strip_tags($input2);
   	return $input3;
	}
[PHP] pobierz, plaintext 

i wywołuję ją następująco:

[PHP] pobierz, plaintext 
	$zmienna = ppts($_POST['zmienna']);
[PHP] pobierz, plaintext 

Czy to jest bezpieczne?

Możer napisz łaskawie przed czym chcesz go zabezpieczac to ci powiemy czy jest bezpieczne czy nie.

przed sql iniection za pomocą addslashes i by usunęło mi kod html za pomocą strip_tags.

nie addslashes tylko mysql_real_escape_string() a najlepiej zainteresuj się PDO i bindowaniem.

A te strip tags to niby przed czym ma cie zabezpieczac? A co gdy bedziesz chcial dodac tagi do pola w bazie?

gdy uzytkownik bedzie chcial dodac do bazy komentarz, by byl sam tekst. (IMG:style_emoticons/default/smile.gif)

No ok, ale to i tak nie zabezpiecza cię choćby przed XSS. Do tego używa się htmlspiecialchars() tuż przed wyświetlaniem danych a nie przed wkładaniem do bazy

dobra, dokształcę się w tej kwestii, ale mam jeszcze jedno pytanie: mogę to, co napisałem zostawić, nie zaszkodzi, prawda?

zamien addslashes jak ci napisalem...