данных от взлома, вы должны тщательно
проверять все данные, которые вы
собираетесь сохранить. Эта удобная функция
проверит сохраняемую информацию и не
позволит вставить вредоносный код в базу
данных.
function cleanInput( $input ) {
$search = array (
'@<script[^>]*?>.*?</script>@si' ,
// Удаляем javascript
'@<;[/!]*?[^<>]*?>@si' ,
// Удаляем HTML теги
'@<style[^>]*?>.*?</style>@siU' ,
// Удаляем теги style
'@<![sS]*?--[ tnr]*>@'
// Удаляем многострочные
комментарии
) ;
$output = preg_replace ($search ,
'', $input ) ;
return $output;
}
function sanitize( $input ) {
if (is_array ( $input )) {
foreach ( $input as $var =>
$val ) {
$output [ $var ] = sanitize
($val ) ;
}
}
else {
if ( get_magic_quotes_gpc ())
{
$input = stripslashes
($input ) ;
}
$input = cleanInput
($input ) ;
$output =
mysql_real_escape_string ( $input ) ;
}
return $output;
}
// Использование:
$bad_string = "Привет! <script
src='http://www.evilsite.com/
bad_script.js'></script> Какой
хороший сегодня день!";
$good_string = sanitize($bad_string ) ;
// $good_string вернет "Привет!
Какой хороший сегодня день!"
// Также используйте для проверки
POST/GET данных
$_POST = sanitize( $_POST );
$_GET = sanitize( $_GET ) ;
Проверка записываемой информациив базу данных