Witam. Musze do bazy danych zapisac teksty uzytkownikow z tinymce editora. Musze to jednak zrobic w czystej postaci: nie moge przepuscic tekstu przez htmlspecialchars)= i zapisac do bazy, a nastepnie przy wyswietlaniu uzyc htmlspecialchars_decode(). Musze zapisac je ze znakami specjalnymi. W tym wlasnie problem. W takim przypadku edytor tekstowy staje sie okienkiem do wpisywania polecen dla hakerow. Macie moze pomysl, jak rozwiazac ten problem? Z gory dziekuje za pomoc:)

dlaczego nie możesz przepuścić przez te funkcje i przy wyświetlaniu dekodować?
a addslashes i stripslashes
i zmień tytuł tematu, bo to z tego co wiem nie jest validacja pola formularza tylko ochrona przed SQL injection

jakbym mogl to bym nie pisal tematu W bazie musza byc znaki specjalne, to nie jest wyswietlane u mnie. Takie sa wymagania i nic nie moge na to poradzic.

a filtrowanie słów "kluczowych" dla zapytań SQL typu OR, AND itp. i odpowiednia zamiana ich na kody &xxx;
powinno zatrzymać hakerów, bo do bazy nie pójdzie wtedy na pewno nic co by mogło zmienić zapytanie
moim zdaniem i tak to ewidentny błąd osoby u której to się będzie wyświetlać, ale skoro masz takie obligacje to postaram się jakoś pomóc

Doklanie to co jest w bazie jest przetwarzane przez inny skrypt. Skrypt dziala lokalnie i dostep do niego maja tylko upowaznione osoby, wiec nie potrzebowali tak tego zabezpieczac. Nie ja projektowalem tamta aplikacje jest jakas funkcja filtrujaca frazy sql i php ?

fraz php nie musisz filtorwać, chyba, że gdzieś jest eval();
co do fraz SQL to bym to załatwił tak:

[PHP] pobierz, plaintext 
 $tekst_z_tinymce=preg_replace(array('/ OR /','/ Or /','/ oR /','/ or /'),array( ' OR ',' Or ',' oR ',' or '),$tekst_z_tinymce);
[PHP] pobierz, plaintext 

i podobnie AND,... nie musisz filtrować wszystkich słów kluczowych SQL - przeanalizuj które w Twoim zapytaniu moga stwarzać niebezpieczeństwo i filtruj tylko je
//EDIT w drugim array(); powinny być znaczniki &# xxx ;, ale nie wiem czemu forum zamienia te znaczki na litery

dzieki:) sprobuje

Tak sie zastanawiam, czy nie ma innej mozliwosci. Ta jest dosc problematyczna i malo wydajna. Moze ktos zna inny sposob?

Takie zabezpieczenie nie jest najlepsze, o ile pamiętam wystarczy zabawa z komentarzami.

Co do zabezpieczeń polecam videoarty Unknow'a.

Nie chcę być złośliwy, ale wystarczy zastąpić or || a and &&. A prawdziwe pole do popisu daje tu JS, ja bym sobie darował zabezpieczanie tego bo ilość fraz, które mogą spowodować szkodę jest nieograniczona a w dodatku zaraz ktoś się przyczepi, że wpisując np. "Comercial union" wycina mu union

Robisz tak, jak klient chce, ostrzegasz go i się nie martwisz o nic, jak klient straci wystarczająca ilość czasu i kasy to w końcu zrozumie, że jego koncepcja była zła. Inaczej trudno co niektórych przekonać.

Nie wiem dlaczego podchodzicie do tego w taki sposób że chłopak sam ma tworzyć zapytania, nie lepiej zaproponować koledze przejście na programowanie obiektowe, na początek klasy modeli w połączeniu z prostym PDO. PDO posiada lepsze "zabezpieczenia" przed sql injection niż ty sam jesteś w stanie wymyślić.
Rozwiąż to w ten sposób że tworzysz sobie klasę odpowiadającej tabelce w bazie z odopowiednimi metodami i atrybutami czyli:

[PHP] pobierz, plaintext 
class mojaTableka{
 /**
 $var PDO
 */
 public static $_connection;
 public static $_insertSql = 'INSERT INTO mojaTabela (kolumna1,kolumna2,...) VALUES (:kolumna1,:kolumna2,...)';
 .
 .
 .
 public $kolumna1;
 public $kolumna2;
 public $kolumna2;
 .
 .
 .
 
public static parms = array(
    'kolumna1' => PDO::PARAM_STR,
     .
     .
     .
);
 
 public function __set($key,$val){
    if(isset($this->$key)){
      $this->$key = $value;
    }
 }
 
 public function __get($key){
     if(isset($this->$key)){
       return $this->$key;
     } 
 }
 
 public static function insert(mojaTableka $obiekt){
    try{
           $prep = self::$_connection->prepare(self::$_insertSql);
            foreatch(self::$params as $key => $val){
                 $prep->bondParam(':'.$key,$obiekt->$key,$val);
            }
            return $prep->execute();
         }catch(Exception $e){
             return false;
         }
 }
 
 public static function update(mojaTabelka $obiekt){
 
 }
 
 public static function dell(mojaTableka $obiekt){
 
 }
 
 public static function get($where){
 
 }
 
 public function save(){
  if($this->IDENTYFIKATOR !== NULL){
     mojaTablela::update($this);
  }
  else{
     mojaTablela::insert($this);
  }
 }
 
 
}
[PHP] pobierz, plaintext 

Pisane z ręki mogą być błędy, ale zamysł jest prawidłowy. Jeśli wybierzesz moje rozwiązanie na pewno postaram się pomóc.

addslashes ma błąd i jest sposób na to by go obejść, dlatego się go nie stosuje.

Nic się nie przejmuj jakie dane są ładowane przez tinymce, wyłącz w nim obsługę js i on się sam ogarnie że nie może być w nim kodu js. A dane ładuj do db poprzez mysql_escape_string i tyle Cie interesuje. Albo PDO jak kolega wyżej napisał.

bardzo ciekawe te poradniki Nieznanego
dzięki za linka

Poczytaj do bindValue() w PDO:
http://pl.wikibooks.org/wiki/PHP/Biblioteka_PDO#Podpinanie

W ten sposób nie musisz się martwić, że ktoś Ci zrobi SQL-Injection, choć oczywiście inne ataki typu XSS są możliwe.