[PHP][MYSQL]Bespieczeństwo przesyłąnia danych. Opcje

[topor1988]

Witam.
Mam baze danych, w niej powiedzmy 2 pola, ID(int), i NEWS(text).
Do tego mam formularz, a w nim textarea.
Użytkownik może dodac newsa z możliwością HTMLa, czyli może każdy znak wysłać.
Teraz jest tu problem z bezpieczeństwem. Jak przefiltrować tego newsa zeby przy dodaniu go do bazy, nie było możliwości żadnego ataku SQLInjection itp. Addslashes? Jak to się ma do wyświetlenia potem tego w bazie? Podkreślam że każdy znak może być wpisany, a potem ma być wyświetlane również jako html. Czyli jak ktoś wpisze <a href=""></a> to wyswietli mu normalnie linka. Nie bedzie za dużo dziwnych nowych znaczków dodawanych przy zapisywaniu do bazy.

[Spawnm]

mysql_real_escape_string()" title="Zobacz w manualu PHP" target="_manual
a tak z ciekawości , co z js? każdy user może go dodać

[topor1988]

A co z mysql_escape_string() oraz addslashes() ? Nie polecacie?

[Rafal Filipek]

z dokumentacji

This function became deprecated, do not use this function. Instead, use mysql_real_escape_string().

co do addslashes to mozna to stosowac jak nie mozna uzyc mysql_real_escape_string
dodatkowo mozesz sobie poczytac troche : http://pl2.php.net/manual/en/security.data...l-injection.php

[pinochet]

Można też zastosować PDO:

Example #3 Fetching data using prepared statements

This example fetches data based on a key value supplied by a form. The user input is automatically quoted, so there is no risk of a SQL injection attack.

[PHP] pobierz, plaintext 
<?php
$stmt = $dbh->prepare("SELECT * FROM REGISTRY where name = ?");
if ($stmt->execute(array($_GET['name']))) {
  while ($row = $stmt->fetch()) {
    print_r($row);
  }
}
?>
[PHP] pobierz, plaintext