Originariamente inviato da Freax
leggendo il nuovo articolo sulla sicurezza in PHP e MySQL mi sono chiesto se esistono altre funzioni oltre quelle due citate dall'autore per mandare caratteri/comandi speciali in escape ...

PHP
# escapeshellcmd ? (non ho capito molto bene il suo utilizzo pratico ... )

MySQL
# mysql_escape_string() [no escape per % e _ ]
# mysql_real_escape_string

forse mi son perso qualcosa della guida ( ma ho dovuto leggerla in 10 minuti ) cmq ne approfitto anche per chiedere un'alternativa all'accoppiata mysql_escape_string() + str_replace su % e _

escapeshellcmd dovrebbe servire ad evitare il possibile lancio di comandi di shell se fai l'exec di qualcosa che viene dall'esterno

per mysql.. ti fai una funzionicna personale che chiama le due funzioni native.. e via