Publicado em 17 de abr.

Função para evitar ataques

seguinte galera, eu tenho um sistema onde uso a seguinte função para inserção de dados no db:

function inject($str){
 $str = get_magic_quotes_gpc() ? stripslashes($str) : $str;
 $str = function_exists('mysql_real_escape_string') ? mysql_real_escape_string($str) : mysql_escape_string($str);
 $str = trim($str);
 $str = strip_tags($str);
 return $str;
	}

porém, ela não restorna tags html e adiciona \ nas aspas, como é de se esperar. o que eu gostaria é que: mesmo que contenham tags html ou aspas, aparecessem o conteúdo normalmente na hora de imprimir, pois é um sistema de noticias e caso precise utilizar aspas ou caracterers especias nao fica interessante que adicione barra invertida ou oculte os caracteres, alguem tem algum link pra estudo ou uma função que faça isso ? obrigado.

Discussão (7)

Entre ou cadastre-se para participar da discussão

Entrar Criar conta

ESerra· 17 de abr.

Utilize prepared statements, isso resolve o seu problema.

Alaerte Gabriel· 17 de abr.

Para mais informações, estude: http://php.net/manual/pt_BR/mysqli.quickstart.prepared-statements.php

Mateus Silva· 17 de abr.

eu ja utilizo bindValue(); quer dizer que usando ele não preciso mais utilizar funções para limpar a string ?

Williams Duarte· 17 de abr.

PDO ou Mysqli?

pois é esta função ai e para mysql_*

E para guardar informações vindo text area usando wysiwygs, converta todos os caracteres aplicáveis em entidades html

entrada

htmlentities((string)$string, ENT_QUOTES, 'utf-8');
saída

html_entity_decode((string)$string, ENT_QUOTES, 'utf-8')

Mateus Silva· 18 de abr.

PDO ou Mysqli?

pois é esta função ai e para mysql_*

E para guardar informações vindo text area usando wysiwygs, converta todos os caracteres aplicáveis em entidades html

entrada

htmlentities((string)$string, ENT_QUOTES, 'utf-8');
saída

html_entity_decode((string)$string, ENT_QUOTES, 'utf-8')

é PDO amigo

Williams Duarte· 18 de abr.

Então não faz sentido a utilização da função acima, pois não é para PDO.

Caso esteja utilizando ela em várias partes do sistema, troque por esta abaixo:

function inject($str){
 $str = filter_var($str, FILTER_SANITIZE_STRING);
 return trim( $str );
}

http://php.net/manual/pt_BR/function.filter-var.php

E não use FILTER_SANITIZE_STRING para dados vindo de wysiwygs, ai é a que passei acima!

htmlentities e html_entity_decode

Mateus Silva· 19 de abr.

perfeito! muito obrigadooo