Какие символы экранировать?

1. Андрюха (31.03.2009 / 02:51)
Меня вот интерисует,какие символы можно пропускать,а какие нет

2. Удаленный (31.03.2009 / 03:17)
хм, ну думаю что $,%,'," пропускать не стоит.

3. Андрюха (31.03.2009 / 03:42)
Хм.. А в сообщениях как?например мне надо написать кусок кода а он не пройдет

4. Саня (31.03.2009 / 06:03)
2, еще наверн < > пропускать ненада

5. Lugaro (31.03.2009 / 06:27)
Смотря для чего, если просто в сообщениях то думаю можно всё пускать, только фильтроват...

6. Удаленный (31.03.2009 / 11:44)
@ можно пропустить это как я знаю передача информации в БД.

7. Артём (31.03.2009 / 12:17)
переводим все символы в их html код,и всё.Все символы отображаються,а вреда не наносят.

8. Тоха (31.03.2009 / 14:05)
экранизация любых символов это прошлый век. текст должен выводиться таким,какие его вводит юзер.

9. Андрюха (31.03.2009 / 15:18)
Ага,а как догда защиту организовывать?

10. Neformat (31.03.2009 / 17:29)
Балин, забыли что ли про mysql_real_escape_string() и htmlspecialchars(,ENT_QUOTES) ?

11. Игорь (31.03.2009 / 20:38)
Изменение авторитета
Ваш положительный голос за пользователя Nefi успешно оставлен!
В данный момент его авторитет: 129
Всего положительных голосов: 210
Всего отрицательных голосов: 81
От общего числа положительных и отрицательных голосов строится рейтинг самых авторитетных
Внимание, следующий голос вы сможете оставить не менее чем через 3 часа!

12. Игорь (31.03.2009 / 20:39)
уже давно ввели такие функции в php

13. Удаленный (01.04.2009 / 01:07)
10 пост ето сила всем советую!

14. Андрюха (01.04.2009 / 12:58)
Я так сделал

function check($var){
return mysql_escape_string(addslashes(htmlspecialchars($var,ENT_QUOTES)));
}

15. Михаил (01.04.2009 / 18:33)
#14, зачем в одной строке mysql_escape_string, addslashes и ENT_QUOTES? Они для одного и тогоже предназначаются

URL: https://visavi.net/topics/614