[MySQL][PHP] zabezpieczenie skryptu Opcje

[-ekshes-]

jestem w trakcie zabezpieczania swojego skryptu php. napisałem taką funkcję:

[PHP] pobierz, plaintext 
	function ppts($input)
	{
    	$input2 = addslashes($input);
        $input3 = strip_tags($input2);
   	return $input3;
	}
[PHP] pobierz, plaintext 

i wywołuję ją następująco:

[PHP] pobierz, plaintext 
	$zmienna = ppts($_POST['zmienna']);
[PHP] pobierz, plaintext 

Czy to jest bezpieczne?

[nospor]

Możer napisz łaskawie przed czym chcesz go zabezpieczac to ci powiemy czy jest bezpieczne czy nie.

[-ekshes-]

przed sql iniection za pomocą addslashes i by usunęło mi kod html za pomocą strip_tags.

[nospor]

nie addslashes tylko mysql_real_escape_string() a najlepiej zainteresuj się PDO i bindowaniem.

A te strip tags to niby przed czym ma cie zabezpieczac? A co gdy bedziesz chcial dodac tagi do pola w bazie?

[-ekshes-]

gdy uzytkownik bedzie chcial dodac do bazy komentarz, by byl sam tekst.

[nospor]

No ok, ale to i tak nie zabezpiecza cię choćby przed XSS. Do tego używa się htmlspiecialchars() tuż przed wyświetlaniem danych a nie przed wkładaniem do bazy

[-ekshes-]

dobra, dokształcę się w tej kwestii, ale mam jeszcze jedno pytanie: mogę to, co napisałem zostawić, nie zaszkodzi, prawda?

[nospor]

zamien addslashes jak ci napisalem...