Как данные пришедшие от пользователя почистить?

[Меняздесьдавнонет]

Стек, кроме запросов SELECT
есть еще запросы UPDATE и даже DELETE
В селекте действительно - много не наломаешь.
Разве что - инфу, которая тебе не положена, можно поглядеть. Но опять же, дело не только в инжекциях, а в банальной защите от ошибок.

[Меняздесьдавнонет]

Alexandr
Если вернуться к первоначальному вопросу.
собственно, у него три части.

1. Защита SQL запроса - его уже обсосали дочиста.

2. Защита HTML и JS. Во-первых - только, если надо, во-вторых, варианта два - либо стрипать теги, либо заменять.
Лично я обычно кладу в базу как есть, а на выходе заменяю < и > эквивалентами.
htmlspecialchars не помешает - как минимум при выводе данных в поле формы.

3. Свои собственные соображения.
Вот в приведенном тобой примере кто-то вырезает любые символы, которые не буквы, я так думаю. Это его личная идея.
при хранении данных гостевой книги в файле, я, например, заменяю перевод строки на
.

[Меняздесьдавнонет]

Кстати, я только сейчас заметил, что у тебя стоит
$user_data=stripslashes($user_data);
Не забудь убрать.

[Stek]

Стек, кроме запросов SELECT
есть еще запросы UPDATE и даже DELETE
В селекте действительно - много не наломаешь.

Ок, хорошо, пускай будет
$SQL="DELETE FROM table WHERE name=\'".$name."\'";
Если у меня $name слашится - то каким образом меня могут поламать ?

[Меняздесьдавнонет]

Никаким.
Об этом и речь.

[Дмитрий Попов]

А если не слешится, то и Select\'ом поломать можно.

Конечно сложнее, и знать чего-то надо, но все же:

Допустим запрос:
$query="select from `table` where id=\'$id\' ";

А я пишу id равным:
$id="1\';delete from `table` "...
Все! таблица  `table` потеряна...

[Stek]

Гмм... ясно, просто запутался спорах о слешировании. Думал что мне доказывают, что данные для базы надо еще раз дополнительно слешить, не обращая внимание на
php_flag magic_quotes_gpc on

Дмитрий Попов
Незнаю как к другим базам, но mysql_query разве научился понимать две sql команды в одном запросе ? Имхо delete from `table` просто не будет выполнятся. Таким образом разве что and id like \'%%\' проталкивать.
Да и то, при таких запросах надо уже четко знать структуру базы.

[Меняздесьдавнонет]

Совершенно верно.

[Дмитрий Попов]

Ууупс... сторомозил :-)... бывает.

[Tronyx]

Троникс, хранить - действительно - совершенно не обязательно, и наоборот - вредно.

А я разве такое говорил? Посмотри внимательней мой пост.

[Stek]

Помоему все уже просто запутались.

[Alexandr]

[off]
RomikChef

потому, что у тебя ко мне неадекватное отношение

Ромик, боже упаси.
Мне, наоборот, твои посты нравятся. Особенно как ты с новичками. Или там про макароны, ложки и вилки... rulezzzz.
Просто порой начало топика не читаешь и пишешь ответы.
Вобщем всё ок.
[/off]
Вобщем буду делать следующим образом:

function clean_str(&$user_data){
$user_data=trim($user_data);
$user_data=str_replace("\\t", " ", $user_data);
$user_data=str_replace("\\r","", $user_data);
$user_data=preg_replace("/  +/"," ", $user_data);//2- пробела => на 1
$user_data=stripslashes($user_data);
$user_data=preg_replace("/[^\\x20-\\xFF]/","",@strval($str));
//Правда никто ничего про ЭТО не сказал.
}

Если надо вставить в SQL, то так
mysql_query("INSERT INTO _t VALUES (NULL, ".addslashes(clean_str($user_data)).")");
Если на мыло послать, то
маил($address, $subj, clean_str($user_data));
Если на экран, то
echo htmlspecialchars(clean_str($user_data));

Вот собственно мой вывод.

[AlieN]

Alexandr

Или там про макароны, ложки и вилки... rulezzzz.