[PHP] Bezpieczeństwo - jak usunąć kod php ze stringa Opcje

[-mkdes-]

Filtruję zmienną POST i chciałbym usunąć z niej wszystkie fragmenty kodu PHP typowe dla niego np. include.
Czy jest może na to jakaś gotowa funkcja?

Przerobiłem coś z manuala i tak dbam o bezpieczeństwo zmiennych GET i POST. Działa na pewno.

[PHP] pobierz, plaintext 
<?php
/*------ Copyright MKDES.pl ------- */
/* ----- Kod funkcji licencjonowany na zasadach GPL ---- */
 
function czyscZmienne($x)
{
	if (is_array($x)) {
	 
		return array_map('czyscZmienne', $x);
	}
	$x = trim($x);
	$x = strip_tags($x);
	$x = mysql_escape_string($x);
	$x = htmlspecialchars($x);
	$x = str_replace('.php','', $x);
	$x = str_replace(':','',$x);
	$x = str_replace('//','',$x);	
	$x = str_replace('http','',$x);
	 
	return $x;
	 
}
?>
[PHP] pobierz, plaintext 

Użycie:

[PHP] pobierz, plaintext 
<?php
$_POST = array_map('czyscZmienne', $_POST); 
$_GET = array_map('czyscZmienne', $_GET);
?>
[PHP] pobierz, plaintext 

TAG: filtrowanie zmiennych POST i GET

UWAGA
Dla zmiennych w UTF-8 niektóre funkcje czyszczące zmieniają ilość znaków, więc jeśli po przesłaniu zmiennych, tekstu chcecie liczyć ilość znaków będzie ona inna niż faktycznie wpisana w formularzu.
To jest kwestia Multibyte String: http://pl.php.net/manual/pl/book.mbstring.php

Napewno nie ma problemu z polskimi znakami.

Ten post edytował mkdes 17.08.2008, 09:40:11

[Hazel]

htmlentities() - rozwinięta forma htmlspecialchars().