eli olen tässä hieman opiskellut php:tä ja tehnyt muutamat nettisaitit jotka käyttää mysql kantaa hyväkseen. Nyt minusta olisi aika ehdoton laittaa sinne tarkistukset ettei joku syötä tietoihin jotakin drop table yms lauseita..tämähän olisi varsin ikävää..
eli kertokaapas kuinka tämä kannattaisi tehdä ja onko jossakin mallia saatavilla..
ja muutenkin mitä tarkistuksia teillä on lomakkeiden yhteyksissä käytössä jne.
ainiin toinen homma että kuinka estetään lisäksi html tagien syöttö? onko se ihan vain tyyliin
$viesti = htmlspecialchars($viesti);
vai kuinka?
Eiköhän se tuolla htmlspecialchars:lla onnistu.. sillon nimittäin < ja > tulee < ja >
Oma varmaksi havaittu estoni on käyttää intval tai is_numeric -sääntöjä kokonais- ja desimaaliluvuissa sekä mysql_escape_string kun kyseessä on merkkijono. Nykyinen PHP myös estää mysql_queryt joissa on puolipiste ( ; ) eli enää ei ole mahdollista syötteet tyyliin " '; drop database db " vaikka käytettäisiinkin stripslashes-funktiota.
EDIT: Jos uskot ettet tarvitse ollenkaan html-koodia edes <br /> muotoisena, saat tagit helpoiten pois strip_tags -funktiolla. Tähän voi myös sisällyttää hyväksyttävät tagit, jolloin esim. <b><i><u> antaa melko mukavan muotoiluvaran html:ää osaaville.
Aihe on jo aika vanha, joten et voi enää vastata siihen.