Удивительный колхоз

# fanatos (17.04.2016 / 12:19)
18 SQL-Inj там нашел вчера

# desay (17.04.2016 / 12:21)
MARAZM, А смотрел чем дале переменная фильтруется? Там есть функция my_esc.

# MARAZM (17.04.2016 / 12:43)
и? для полной фильтрации нужно что то вроде джоновского checkin'a. mysql_real_escape_string нихрена не достаточно

function my_esc($str)
{
if (function_exists('iconv'))
{
$str = iconv("UTF-8", "UTF-8", $str);
}
// Фильтруем невидимые символы
$str = preg_replace('/[^\P{C}\n]+/u', '', $str);
$str = mysql_real_escape_string(trim($str));
return $str;
}

# desay (17.04.2016 / 13:08)
такой фильтрации будет достаточно?

$str = '<b>Текст</b>';
echo my_esc($str);

# ДоХтор (17.04.2016 / 14:46)
Нет, ещё надо что-то делать с html-тегами. Твоя функция их не отфильтровывает, и вот такой вызов
$str = '<b>Текст</b>';
echo my_esc($str); Вернёт текст жирным шрифтом

$str = '<b>Текст</b>';
echo hsc ($str);

desay [ON] [#] [о] [ц] (Сегодня, 14:58)
В базу он так и должен записаться.

# desay (17.04.2016 / 18:19)
Напишите пример хорошей фильтрации входящих даных,что бы на выходе ничего не фильтровать.

# desay (17.04.2016 / 18:19)
Напишите пример хорошей фильтрации входящих даных,что бы на выходе ничего не фильтровать.