[PHP]Filtracja danych Opcje

[Ulysess]

witam napisałem czat i przy wyświetlaniu korzystam z htmlspecialchars oraz addslashes czy to jest bezpieczna metoda chciałbym to jakoś inaczej zrobić ponieważ jeśli ktoś wstawi " to dzięki tym funkcjom powstają sleshe . w jaki najlepszy sposób napisać bezpieczny czat ? prosił bym o przykład albo opis jak to zrobić

[adrianozo]

Jak sam napisałeś korzystasz z addslashes Więc podczas odczytu skorzystaj z stripslashes ;]

[croc]

Wpisy lądują w bazie danych? Jeśli tak, to ja przy zapisie danych do bazy używam

[PHP] pobierz, plaintext 
mysql_real_escape_string(stripslashes($wartosc))
[PHP] pobierz, plaintext 

, natomiast przy odczycie danych bez obsługi HTML robię po prostu

[PHP] pobierz, plaintext 
htmlspecialchars($wartosc)
[PHP] pobierz, plaintext 

.

[JohnnyB]

do samego przesyłania danych pomiędzy php a przeglądarką addslashes nie jest potrzebne, wręcz przeciwnie, jeśli masz

magic_quotes_gpc = On

powinieneś raczej robić stripslashes, czyli:

if(get_magic_quotes_gpc()) $val=stripslashes($val);

aby dostać 'normalne' dane (bez slashy). Teraz możesz je spokojnie wyświetlić poprzez htmlspecialchars i będzie ok.
Więcej informacji o magic_quotes http://pl2.php.net/manual/en/security.magicquotes.php

jeśli zapisujesz dane do bazy danych, to przed zapisem musisz użyć slashowania, ale lepiej użyć funkcji specyficznej dla bazy danych, np. mysql_real_escape_string()