[PHP] Usuwanie wartości w GET przed wysłaniem Opcje

[Falcon2]

Witam

Mam problem. Posiadam formularz wysyłający wynik metodą get ($_GET['s']) do drugiej strony dodając w adresie podaną wartość. Chciałbym się zapytać jak zrobić żeby zaraz po formularzu wstawić kod, który usuwa z $_GET niedozwolone słowa przed ich wysłaniem do następnej strony? Próbowałem zrobić

[PHP] pobierz, plaintext 
<? $_GET['s']=str_ireplace('UNION','',$_GET['s']);  ?>
[PHP] pobierz, plaintext 

ale nie działało. Celem jest usunięcie niedozwolonych słów, aby napisany mechanizm reagujący na niebezpieczny kod w GET nie urucamiał się

[wookieb]

Tak się zapytam... Po co usuwać słowo UNION? Rozumiem sql injection. Ale przecież wystarczy dać mysql_real_escape_string baddz pgsql wersje tej funkcji i nie ma problemu z sql injection.

[Falcon2]

taki tylko przykład podałem, mysql_real_escape_string używam, jednak chciałbym poznać rozwiązanie do mojego problemu jeśli coś takiego da się zrobić

[ddiceman]

W zla strone kombinujesz. Zamiast usuwac niedozwolone rzeczy z GETa przed wyslaniem, usun je po drugiej stronie, po odbiorze, ale przed przetworzeniem:

a.htm:

[HTML] pobierz, plaintext 
<form action="b.php">
    <input type="text" name="s">
</form>
...
[HTML] pobierz, plaintext 

b.php:

[PHP] pobierz, plaintext 
<?php
$_GET['s'] = str_replace ('UNION', '', $_GET['s']);
echo $_GET['s'];
...
?>
[PHP] pobierz, plaintext 

Ten post edytował ddiceman 9.02.2009, 14:52:42