генерация запросов с использование переданных переменных

[Frutik]

генерация запросов с использование переданных переменных

нужно зачищать переменный для использования в построении запросов
пришло в голову такое:

$var = addslashes(trim(striptags(htmlentities($var))))

что из этого возможно лишнее или чего не хватает?

 

[trent]

addslashes не надо делать, если включен magic_quotes

 

[Frutik]

а со всем остальным согласен?

 

[RomikChef]

а можно спросить, какой мыслительный процесс привел тебя вот к htmlentities?
Да и striptags зачем - можешь объяснить? (пишется, кстати, по-другому)

 

[Frutik]

Автор оригинала: RomikChef
а можно спросить, какой мыслительный процесс привел тебя вот к htmlentities?
Да и striptags зачем - можешь объяснить? (пишется, кстати, по-другому)

возможно плохой английский

на сколько я понял мануал htmlentities преврати например &lt; в < (тоесть я так понимаю замаскированные теги в нормальные) а потом strip_tags уберет все теги

 

[Frutik]

а вообще я буду только благодарен если кто напишет как чистит он

а то не хочется чтобы в один прекрасный день кто-то через кривой сгенерированный запрос дропнул таблицу в базе

 

[trent]

кстати не советую делать strip_tags(), если в тексте будет два знака в начале < в конце > он весь текст между этими знаками повырезает

 

[Frutik]

гм, по одной поотбраковывали все мои мысли...
получается что вообще ничего проверять не надо?

 

[trent]

еще можно сделать так

$content = ereg_replace("[ ]{2,}", " ", $content);

, чтобы не хранить "лишнии" пробелы, при выводе в html два и более пробелов отображаются, как один

 

[trent]

Автор оригинала: Frutik
гм, по одной поотбраковывали все мои мысли...
получается что вообще ничего проверять не надо?

htmlspecialchars думаю хватит

 

[Frutik]

а как побороть такое? script.php?table=name;drop table tablename

query = "select * from $table;";

 

[trent]

ну еще в зависимости от контента \n заменять на <br>

 

[RomikChef]

Трент, а теперь ответь мне , подалуйста ,какое имеют все эти телодвижения к ЗАПРОСАМ?

Фрутик, тебя тоже касается?
каким боком теги прислонились к базе данных?

 

[trent]

Автор оригинала: Frutik
а как побороть такое? script.php?table=name;drop table tablename

query = "select * from $table;";

это неправильно, что у тебя в скрипт по параметру передаются имя таблицы, не вставляй напрямую в запрос имя таблицы
можно так:
if ($table == 1)
$name = "tablename1";
else
$name = "tablename2";

 

[trent]

упс, не посмотрел, что к запросам, сорри

 

[RomikChef]

?

а как побороть такое

фрутик, прежде, чем задавать такие вопросы, ты бы попробовал хоть так сделать, а