[PHP]Filtrowanie Opcje

[kleszczoscisk]

Witam i proszę o poradę.
Na stronie, po zalogowaniu użytkownik dodaje treści, między innymi tytuł swojej publikacji. Wiecznym problemem są ludzie, którzy wpisują mimo próśb wszystkie możliwe rodzaje cudzysłowów, myślników i innych znaków. Moje pytanie brzmi: czy jest jakaś fajna uniwersalna funkcja filtrująca dane z formularza przed dodaniem do MySQL pod kątem niepożądanych znaków (spoza a-ząćęłńóśźżA-ZĄĆĘŁŃÓŚŹŻ0-9) jak i bezpieczeństwa ?
Póki co robię tak:

[PHP] pobierz, plaintext 
if (isset($_POST['tytul'])) {
$tytul = trim($_POST['tytul']);
$tytul = str_replace('-','–',$tytul);
$tytul = str_replace("'","’",$tytul);
$tytul = mysql_real_escape_string($tytul);
}
[PHP] pobierz, plaintext 

Słabo to działa ponieważ zamiast cudzysłowu dostaję \\".

[luck]

Może:

[PHP] pobierz, plaintext 
htmlspecialchars()
[PHP] pobierz, plaintext 

[kleszczoscisk]

Dzięki. Krok dalej... (IMG:style_emoticons/default/smile.gif) W zasadzie docelowo to chciałbym wywalić wszystko co nie jest literą, cyfrą lub przecinkiem i kropką.

[luck]

Proszę bardzo:

[PHP] pobierz, plaintext 
preg_replace("/[^a-zA-Z0-9.,\s]/", "", $string)
[PHP] pobierz, plaintext 

[kleszczoscisk]

oo, czadzik, dzięki...
Czyli takie filtrowanie:

[PHP] pobierz, plaintext 
if (isset($_POST['tytul'])) {
$tytul = mysql_real_escape_string(preg_replace("/[^a-zA-Z0-9., \s]/", "", $tytul));
}
[PHP] pobierz, plaintext 

... będzie również bezpieczne przed dodaniem do bazy ?

edit: poprawione, jeszcze raz dzięki (IMG:style_emoticons/default/smile.gif)

Ten post edytował kleszczoscisk 20.03.2010, 17:43:15

[luck]

Będzie bezpieczne.
PS. Tylko oczywiście w tym konkretnym przypadku zmień $string na $_POST['tytul'] (IMG:style_emoticons/default/winksmiley.jpg)

Ten post edytował luck 20.03.2010, 17:39:49

[gothye]

i jeszcze :
addslashes()

[kleszczoscisk]

Jakis problem jest...

[PHP] pobierz, plaintext 
if(isset($_POST['tytul'])) {
//$tytul = preg_replace("/[^a-ząćęłńóśźżA-ZĄĆĘŁŃÓŚŹŻ0-9., /s]/", "", $tytul);
$tytul = preg_replace("/[^a-ząćęłńóśźżA-ZĄĆĘŁŃÓŚŹŻ0-9.,\s]/", "", $tytul);
$tytul = mysql_real_escape_string($tytul);
}
[PHP] pobierz, plaintext 

Ten kod całkowicie zjada zawartosc zmiennej $tytul. Co jest nie tak ?

EDIT: poprawiłem ukośnik w \s

Ten post edytował kleszczoscisk 20.03.2010, 18:14:22

[luck]

Patrz post #6.

[kleszczoscisk]

Nazwę zmiennej poprawiłem ale to nie to. Spację w wyrażeniu regularnym też (jak doczytałem, że \s oznacza właśnie spacje).

Już działa pięknie, dzięki za pomoc (IMG:style_emoticons/default/smile.gif)

Ten post edytował kleszczoscisk 20.03.2010, 18:18:35