zabezpieczenie injection zbyt dokładne? Opcje

[Dopler]

Mam bazę nazwisk z informacjami. Rekordy wywołuję przez zmienną nazwisko=xxxxx

Jednak żeby się zabezpieczyć przed zhakowaniem całej bazy przez wpisanie nazwisko=a% lub nazwisko=a_
stworzyłem ifa

if(!preg_match("/%/", $nazwisko)&&!preg_match("/_/", $nazwisko))

i działa super - tylko że jest zbyt dokładny - bo są nazwiska takie jak d'Haute (z apostrofem)
i to nazwisko jest wyłapywane jako zhakowanie

jest jakiś sposób żeby zostawić zabezpieczenie ale żeby apostrof nie był brany pod uwagę? I skąd ten apostrof skoro skryptu nie uczulałem na niego?

a może to zabezpieczenie robi się inaczej ?

podgląd bazy jest tu: http://powstanie.okiem.pl

Ten post edytował Dopler 18.06.2012, 18:07:11

[Dopler]

sorry- ale ja po prostu nie rozumiem co znaczy "wywalasz _%" bo przecież to są trzy osobne warunki w bramce logicznej - warunek długości i nie występowania tych znaków


Rozwiązałem problem

[PHP] pobierz, plaintext 
if(preg_match("/'/", $lettertwo))
  {$sprawdz=4;}
else 
  {$sprawdz=3;}
if(strlen($lettertwo)==$sprawdz&&!preg_match("/%/", $lettertwo)&&!preg_match("/_/", $lettertwo))
[PHP] pobierz, plaintext 

działa - ale czuję że to jest strasznie dookoła - jak siekierą. To chyba powinno być zrobione jakimś kodowaniem ...
Nie jestem pewien czy to wyczerpuje wszystkie możliwości, poza tym nie wiem czy tego i tak nie można jakoś obejść

może jest lepszy sposób?

baza jest w UTF8