[PHP] problema htmlspecialchars

[StErMi]

mi stavo chiedendo... quando metto una news e la aggiungo prima di inserire nel db il testo faccio htmlspecialchats($testo);

il problema è che alcune persone del sito devono mettere delle news con delle tabelle e segate varie in HTML solo che io faccio l'htmlspecialchars e quindi non "traduce" l'html

come posso risolvere? siccome l'htmlspecialchars mi server per usare il BBcode

[php_34]

si e con le espressioni regolari

[StErMi]

cioe? espressioni regolari anche per l'html?

[StErMi]

cioe creo la news, htmlspecialchars(testo), espressioni regolare da bbcode a html, espressioni regolari da "html trasformato dal htmlspecialchars" in "HTML vero"

cosi?

qualuno sa dove posso trovare un procedimento inverso dell'htmlspecialchars

[ScassaBubu]

che ne diresti di:
htmlentities e
html_entity_decode
manuale:
http://php.benscom.com/manual/it/fun...mlentities.php

[robertes]

ma eseguire controlli solo tramite la funzione htmlspecialchars basta per evitare problemi di sql injection etc...?

[ScassaBubu]

Originariamente inviato da robertes
ma eseguire controlli solo tramite la funzione htmlspecialchars basta per evitare problemi di sql injection etc...?

Si ma solo nel paese dei balocchi!
a parte gli scherzi...assolutamente no.
se consideri poi che solitamente una sql injection è piu' facilmente applicabile in una scomposta o non controllata creazione di stringa per una query....ma mi sembrava non ci si ponesse la questione.

[robertes]

e cosa associamo? oltre ai controlli sui vari $_GET e $_POST
del tipo $a=(int) $_GET['a'];

[ScassaBubu]

beh...intanto non usare query string.....tanto per evitare il passaggio di info nella barra degli indirizzi...

[robertes]

si io dico in generale che controlli si fanno di routine sulle variabili a rischio?
Htmlspecialchars, int e poi?

devo fare anche addslashes e stripslash etc... o basta htmlspecialchars?