[мошенник] Мне повторить про то что документация доступна 24/7 ? 
http://php.net/manual/ru/filter.filters.sanitize.php
Добавлено 29.02.16 в 20:18:56:
- + не удаляет не один фильтр в php, только регулярные выражения.
donttime, да я понял, только меня удивляет кое что, люди говорят что если htmlspecialchars или mysql_real_escape_string, то можно защититься практически полностью от иньекций и xss, но эти функции ведь не фильтрируют +,union и ;... Так в чём фишка mysql_real_escape_string если всё же можно ломать?
Она екранирует символы так, что запрос принимает параметр именно как строку, а не часть SQL запроса.
Нормальные источники читай
http://php.net/manual/ru/function.mysql-real-escape-string.php
[мошенник] от sql inj можно защититься даже простейшим sprintf()
http://php.net/manual/ru/function.sprintf.php
Добавлено 29.02.16 в 20:36:19:
htmlspecialchars помогает избежать xss только за счет того что преобразует специальные символы в html сущности
http://php.net/manual/ru/function.htmlspecialchars.php
Да, но опять же смотри.
mysql_real_escape_string - это тоже как защита от sql inj как говорят все, тогда смысла от mysql_real_escape_string именно в данном случае нет?
[мошенник] Иди нахер короче, что мне тебе объяснять если ты читать не умеешь.
Ссылки тебе дали, там все черным по белому написано. Ко всему этому MySQL как расширение PHP давным давно Deprecated, и в новых версиях давным давно удалены.
donttime, я тебе про mysql_real спрашиваю а ты мне впихиваешь sprintf
donttime, http://www.gfs-team.ru/articles/read/20 взгляни сюда, тут говорят что если http://site.ru/mail.php?user=1;+DROP+TABLES+user - то конец. Получается что от htmlspecialchars и mysql_real_escape_string нет никакой пользы.
Вот я о чём тебе говорю, а ты мне пихаешь sprintf или другие статьи, я у тебя именно про mysql_real спросил.
Изм. 1 раз. / Посл. изм. (29 фев 2016, 20:53)
Ну смотри, я разве не прав?
