[עזרה] הגנה מפני SQL INJECTION וכו...

[drowkid]

PHP קוד:

function no_inc($str)
{
$str = str_replace('"', '&#34"', $str);
$str = str_replace("'", "&#39", $str);
$str = str_replace("`", "&#96", $str);

$str = str_replace('(', '&#40"', $str);
$str = str_replace(")", "&#41", $str);

$str = str_replace(";", "&#59", $str);

return $str;
} 


היה לי משעמם

[mlnn]

ציטוט:

נכתב במקור על ידי drowkid

PHP קוד:

function no_inc($str)
{
$str = str_replace('"', '&#34"', $str);
$str = str_replace("'", "&#39", $str);
$str = str_replace("`", "&#96", $str);

$str = str_replace('(', '&#40"', $str);
$str = str_replace(")", "&#41", $str);

$str = str_replace(";", "&#59", $str);

return $str;
} 


היה לי משעמם

lol
htmlspecialchars()

[eLad]

ציטוט:

נכתב במקור על ידי drowkid

PHP קוד:

function no_inc($str)
{
$str = str_replace('"', '&#34"', $str);
$str = str_replace("'", "&#39", $str);
$str = str_replace("`", "&#96", $str);

$str = str_replace('(', '&#40"', $str);
$str = str_replace(")", "&#41", $str);

$str = str_replace(";", "&#59", $str);

return $str;
} 


היה לי משעמם

הפונקציה שלך די מיותרת במקרים רבים. למשל במקרה שבו צריך להכניס למסד מספר. אין טעם לרוץ על הכל ולהחליף תווים, מספיק תנאי פשוט "האם X מספר - כן? תוסיף למסד. לא? תחזיר שגיאה".

גם כשעוסקים בהכנסת מחרוזת למסד, צריך להחליף ולטפל בעוד כמה תווים שעלולים לגרום נזק, כמו למשל: & או < או >.