[JavaScript][PHP]Seria pytań Opcje

[Asuri]

Witam. Od jakiegoś czasu uczę się tworzyć dynamiczne strony internetowe ale im więcej umiem tym bardziej zdaje sobie sprawę, że są rzeczy których nie wiem a powinienem. Dlatego postanowiłem się was o nie zapytać.

1. Ajax - gdy wczytuję div'a ajax'em ładnie pojawia mi się kod HTML wykonany przez php jednak skrypty JavaScript nie chcą w nim działać. (0 reakcji a skrypt powinien działać. Nawet wyświetlenie tekstu nie działa) A nie mogę tego skryptu przenieść w inne miejsce, ponieważ w div'ie php tworzy warunek decydujący czy ten skrypt ma być wykonany. Wszystko sprawdzałem i kod się nie wykonuje a powinien.

2. Bezpieczeństwo - a dokładniej filtrowanie danych z formularzy. Chciałbym link do jakiegoś poradnika z przykładami który przefiltruje zmienne.

Mam taki kod:

[PHP] pobierz, plaintext 
$title=htmlspecialchars($title); //usówanie znaczników html
$title = strtr($title, 'ĘÓĄŚŁŻŹŃęóąśłżźćń', 'EOASLZZCNeoaslzzcn'); //podmiana polskich znaków
 
//sprawdzenie czy zmienna zawiera dozwolne znaki
if (ereg('^[a-zA-Z0-9ąćęłńóśżźĄĆĘŁŃÓŚŻŹ!@#. ]+$', $title)) {
    //napis poprawny
} else {
    header('Location: ../error/err.php');
}
[PHP] pobierz, plaintext 

Czy coś jeszcze powinienem dodać aby nikt się nie dostał to tabel Mysql? Najgroźniejszym znakiem wydaje mi się " i ' ale co jeśli chcę zrobić chat w którym użytkownik będzie chciał coś zacytować?

3. Jakiej technologii/ języków użyć do tagiego czegoś? I jak to ma działać.
Użytkownik wchodzi w link który wykonuje kod i przekieruje go np. na stronę główną. Dalej robi co chce. Może zmieniać podstrony, wylogować się i opuścić serwis a za np. 10 minut od wejścia w link ma być wykonana aktualizacja rekordu w bazie Mysql.

[by_ikar]

ereg jest przestarzałą funkcją, której nie powinno się używać, za miast tego preg_match a w przypadku filtrowania danych możesz użyć już udostępnionych funkcji przez samo php filter_var. Pokaż ten kod js. Filtrowanie zawsze powinieneś robić po stronie serwera, czyli w twoim przypadku - php. JS jest tylko dla szybkiego odfiltrowania danych bez przeładowania strony. Reszty nie rozumiem.

[owca_82]

Ad 1... Absolutnie nie powinieneś mieszać kodu wykonującego się po stronie klienta z tym po stronie serwera (ewentualnie w bardzo wyjątkowych sytuacjach) - niezłe spagetiii w tych skryptach musi tam być
Jak najbardziej da się to zrobić tak żeby odseparować te dwie warstwy - skorzystaj z callback'ów wywoływanych na podstawie wartości flagi zwracanej z serwera ..

Ad 2. To poczytaj o różnych rodzajach ataków na stronki i sposobach zabezpieczenia się przed nimi.