Passare mysqli_real_escape_string una stringa contenente html

**Graboid** · 08-05-2008, 12:19

Ciao,
è possibile passare mysqli_real_escape_string una stringa contenente html?

Mi arriva una stringa da una textarea a cui ho applicato Tiny_Mce ma dopo averla passata a mysqli_real_escape_string la stringa è rovinata (la funzione rompe l'attributo style dentro ai tag).

**filippo.toso** · 08-05-2008, 12:27

Che cosa intendi per "rompe"?
Applichi uno stripslashes() quando vai ad estrarre il contenuto dal database?

**Graboid** · 08-05-2008, 14:40

Mi arriva una variabile in post, la stampo a video ed è tutto ok, gli applico mysqli_real_escape_string, la ristampo e mi scombina l'attributo style di un tag span.

Mi risulta una cosa del genere:
<span style="" underline;\""> invece di
<span style="text-decoration:underline;">

**filippo.toso** · 08-05-2008, 14:44

mysqli_real_escape_string va usato prima di inviare i dati al database, non prima di stamparli a video.

**Graboid** · 08-05-2008, 14:49

Quindi secondo te non inserirà a DB dati non corretti?
Fra qualche ora arriverò a fare la prova e vi farò sapere.
Grazie della risposta

**filippo.toso** · 08-05-2008, 14:52

Quindi secondo te non inserirà a DB dati non corretti?

Ti suggerisco di ricominciare dal manuale ufficiale:

http://www.php.net/manual/en/securit...-injection.php
http://www.php.net/manual/en/security.magicquotes.php
http://www.php.net/mysqli_real_escape_string
http://www.php.net/stripslashes

**Graboid** · 09-05-2008, 12:01

Tutto ok!
Effettivamente i dati vengono salvati correttamente a Db.
Ciao

Discussione: Passare mysqli_real_escape_string una stringa contenente html

Strumenti discussione

Ricerca discussione

Visualizza

Passare mysqli_real_escape_string una stringa contenente html

Permessi di invio