Hi
Zitat:
Zitat von R4Zz0R
Ähhm ... du entfernst die zeichen einfach ... dh. du machst das selbe wie ich mir str_replace
wobei eine regex warscheinlich performanter ist ...
|
Kannst du das belegen?
Zitat:
Zitat von R4Zz0R
bei post ist es auserdem weniger sinnvoll wenn du alles filterst und gegen nichts ersetzt also in dem fall es aus dem string löschst da der benutzer ja sicher auch gerne zeichen eingeben würde um seinen text zu formatieren oder code auf der seite zu präsentieren ...
|
Wie gesagt das waren die Anfänge...
Heute geht nix durch was nicht angefordert/registriert wurde.
Und was der Benutzer möchte oder nicht ist Sache der Aufgabe
und des Auftraggebers. Wenn ein Benutzer nach Rezeptnamen
suchen kann/darf brauch er nicht alle Zeichen oder?
Hab jedenfalls noch kein Kartoffel<;&%auflauf gelesen ;)
Zitat:
Zitat von R4Zz0R
so habe ich immer ein eigenstädiges array was nur für sql querys bereitsteht, und das laut meiner ausgabe ( & sql inject me :) ) auch recht sicher ist.
|
Is ja bei mir ebenso nur muss ich keine "arrays'" erfinden sie sind ja da
...........gesäubert ;)
Zitat:
kein semikolon, doppelpunkt, prozent- und dollar-zeichen...? sind doch alles bestandteile unserer "normalen" schriftsprache.
|
Wie gesagt Heute definier ich schon bei Erstellung eines Formularfelds
was es beinhalten darf und alles was nicht A-Z0-9 ist geht dann ->
Zitat:
mysql_real_escape_string zur maskierung in richtung db und htmlentities / htmlspecialchars zur ausgabe in html.
|
Logisch und nicht diskutierbar.
mfg
CKaos