Хочу задать пару вопросов))
Правильно ли я использую функцию nl2br ?)
while($chat_no=mysql_fetch_array($ooo))
{
echo nl2br($chat_no);
echo '<p>'.$chat_no['id'].'. <a href="pro.php?id='.$chat_no[id_us].'"><b>'.$chat_no['name'].'</b></a>: '.smile($chat_no['msg']).'</p>';
}
И 2 вопрос,как правильно фильтрировать таков запрос?)
mysql_query("INSERT INTO `chat_no` (`msg`, `id_us`,`name`) VALUES ('".$_POST['msg']."', '".$user['id']."','".$user['login']."')"
;
1. Покажи функцию nl2br() и что передает $chat_no ?
2.
<?php
function quote($value) {
if(!is_numeric($value)) {
$value = "'".mysql_real_escape_string($value)."'";
}
return $value;
}
?>
mysql_query("INSERT INTO `chat_no` (`msg`, `id_us`,`name`) VALUES ('".quote($_POST['msg'])."', '".$user['id']."','".quote($user['login'])."')";
Денис Павлик, Ща 5 сек спасибо))Выводит даные с таблицы chat_no
При выводе данных из бд фильтруй htmlspecialchars() этим фильтром.
Денис Павлик, Спасибо))Я вот так запилил:
$msg = mysql_real_escape_string(htmlspecialchars($_POST['msg']));
mysql_query("INSERT INTO `chat_no` SET `msg` = '".$msg."', `id_us` = '".$user['id']."', `name` = '".$user['login']."' ";
Но есть проблемка хз как quote присобачить 
Денис Павлик, При выводе вот так?
'.htmlspecialchars(smile($chat_no['msg'])).'
Создай файл quote.php и прописывай где надо
include 'quote.php';
Денис Павлик, Я квоте прописал в файле функций это правильно?)И не нужно ли ево к запросу или фильтрации присоеденять он сам липнет?)
Правильно. Везде где передаются динамические данные SQL'у используй эту функцию для фильтрации. Она предотвратит от SQL inj и будет соблюдать синтаксис SQL при записи в БД.
