[PHP]wyciągnięcie określonych znaków z stringu Opcje

[Th0e]

Witam! Tworzę stronę na której każdy mógłby coś napisać. Teksty trafiają do bazy danych, tak więc przydało by się to zabezpieczyć przed np SQL Injection, więc postanowiłem użyć preg_replace, żeby wyciągało jedynie litery i cyfry, ale oczywiście nie działa (IMG:style_emoticons/default/smile.gif) . Oto kod:

[PHP] pobierz, plaintext 
$nadawca = $_POST['nadawca'];
$tresc = $_POST['tresc'];
$adresat = $_POST['adresat'];
 
$tresc2 = wordwrap($tresc, 50, "\n", true); //dzielenie długich ciągów znaków
$tresc3 = preg_replace("/[^A-Z0-9]/", "", $tresc2); //pobieranie z textu znaków
 
 
if(!empty($nadawca) && !empty($adresat) && !empty($tresc)){
mysql_query("INSERT INTO `pytania` (nadawca, tresc, odbiorca) VALUES('$nadawca','$tresc3','$adresat')") or die("nie udało się wysłać! Spróbuj jeszcze raz!");
header("Location: kontakt.php?co=wyslano");  
} 
[PHP] pobierz, plaintext 

Liczę na pomoc (IMG:style_emoticons/default/smile.gif) Pozdrawiam.

Ten post edytował Th0e 3.03.2013, 19:31:27

[fragov]

Najlepiej przerzuć się na PDO, od wersji 5.5 mysql_real_escape_string nie będzie obsługiwany. (IMG:style_emoticons/default/smile.gif)
Na chwilę obecną lepiej mysql_real_escape_string no i tutaj trochę info o mysql_real_escape_string vs addslashes.

[PHP] pobierz, plaintext 
$nadawca = mysql_real_escape_string($_POST['nadawca']);
$tresc = mysql_real_escape_string(wordwrap($_POST['tresc'], 50, "\n", true);
$adresat =mysql_real_escape_string( $_POST['adresat']);
 
if(!empty($nadawca) && !empty($adresat) && !empty($tresc)){
mysql_query("INSERT INTO `pytania` (nadawca, tresc, odbiorca) VALUES('$nadawca','$tresc','$adresat')") or die("nie uda?o si? wys?a?! Spróbuj jeszcze raz!");
header("Location: kontakt.php?co=wyslano");  
} 
[PHP] pobierz, plaintext 

btw. to czy w formularzu jest select czy input to nie ma różnicy, często można dane podmienić np livehttpheaders. (IMG:style_emoticons/default/smile.gif)

Ten post edytował fragov 3.03.2013, 21:39:52