[PHP] htmlspecialchars czy mysql_real_escape_string? Opcje

[chidor]

No właśnie, co podczas rejestracji kiedy ktoś wysyła swój login, hasło, email powinno być wykorzystywane żeby wszystko było bezpieczne?

[HTML] pobierz, plaintext 
<p>Login*: <input type="text" name="login" /></p>
[HTML] pobierz, plaintext 

[PHP] pobierz, plaintext 
$login = htmlspecialchars(trim($_POST["login"]));
[PHP] pobierz, plaintext 

czy?

[PHP] pobierz, plaintext 
[
$login = mysql_real_escape_string(trim($_POST["login"]));
[PHP] pobierz, plaintext 

Co będzie lepszym wyjściem?

Ten post edytował chidor 7.08.2012, 01:25:21

[lukesh]

Żadne z powyższych. Najlepiej skorzystać z funkcji, która służy w PHP do walidacji - filter_var().

http://blog.visionsoftware.pl/programowani...filter_var.html

[abort]

Przeczytałem nagłówek tego linka i się załamałem... "satynizacja".
Jeśli już robić kalkę z angielskiego, to raczej "sanityzacja" (od angielskiego "sanity", a nie od satyny - takiego materiału).
Do tego autor bloga mówi o wyrażeniach regularnych w kontekście "Pearl". Nie wiem o czym pisze, ale jeśli chciał pisać o języku programowania, to raczej powinno tam być "Perl" (Practical Extraction and Report Language). No dosłownie perełka. (IMG:style_emoticons/default/smile.gif)

Nie umniejszając wiedzy autorowi bloga, doradziłbym mu jednak jedno: jak ma takie rzeczy pisać w blogu, to lepiej niech tego bloga nie pisze.