Proprio per questo motivo devi fare una funzione che filtri a dovere ogni stringa.E non so cosa i miei colleghi andranno ad inserire nel testo.
Te ne passo una preconfezionata, che ho fatto io tempo fa.
Con questa funzione non hai problemi né di apici vari né di caratteri che vengono visualizzati male per differente codifica html/db.Codice PHP:function filter_texts_to_xml($str){
$str = trim($str);
$str = stripslashes($str);
$caratteri = get_html_translation_table(HTML_ENTITIES, ENT_QUOTES);
$str = strtr($str, $caratteri);
$str = mysql_real_escape_string($str);
return $str;
}
Dai anche un'occhiata alla Guida alla Sicurezza in PHP per cercare di capire quali possano essere i problemi principali nel non filtrare le variabili che passi nei tuoi script PHP.
Rispondi quotando