Для того, чтобы обезопасить вашу базу данных от взлома, вы должны тщательно проверять все данные, которые вы собираетесь сохранить. Эта удобная функция проверит сохраняемую информацию и не позволит вставить вредоносный код в базу данных.

                        
function cleanInput($input) {

 

  $search = array(

    '@<script[^>]*?>.*?</script>@si',   // Удаляем javascript

    '@<;[/!]*?[^<>]*?>@si',            // Удаляем HTML теги

    '@<style[^>]*?>.*?</style>@siU',    // Удаляем теги style

    '@<![sS]*?--[ tnr]*>@'         // Удаляем многострочные комментарии

  );

 

    $output = preg_replace($search, '', $input);

    return $output;

  }



function sanitize($input) {

    if (is_array($input)) {

        foreach($input as $var=>$val) {

            $output[$var] = sanitize($val);

        }

    }

    else {

        if (get_magic_quotes_gpc()) {

            $input = stripslashes($input);

        }

        $input  = cleanInput($input);

        $output = mysql_real_escape_string($input);

    }

    return $output;

}



// Использование:

$bad_string = "Привет! <script src='http://www.evilsite.com/bad_script.js'></script> Какой хороший сегодня день!";

$good_string = sanitize($bad_string);

  // $good_string вернет "Привет! Какой хороший сегодня день!"



  // Также используйте для проверки POST/GET данных

  $_POST = sanitize($_POST);

  $_GET  = sanitize($_GET);