ciao a tutti... una domanda... ho un form... con una textarea... e questa è gestita da un bel robino in javascript che mi rende la textarea wysiwyg.
diciamo che la variabile associata alla textarea è $_POST['testo']
se io prima di salvarla nel database la trasformo con htmlentities:
$testo=htmlentities($_POST['testo']);
poi posso stare sicuro?
se no... cosa dovrei fare?
Non ha senso che tu lo faccia, se è per il database fai un parsing per il database, altrimenti cosa l'hai fatto WYSIWYG a fare??
no... a qualcosa serve... mi costruisce tutti i tag html
beh... poi quando lo tiro fuori per stamparlo
$testo=html_entity_decode($text);
intendevo:
htmlentities
mi mette al sicuro da sql injection etc?
il php come sofferenza necessaria quando dopo aver parlato a voce al pc lui non fa quello che dici.
Simulazione di trading
No, non ti protegge.
Per questo ti dico di usare la protezione pensata proprio per questo: mysql_escape_string(): o mysql_real_escape_string();
e non mi da problemi con il codice html che c'è nel form?
per ristamparlo a video cosa dovrei fare? stripslashes?
il php come sofferenza necessaria quando dopo aver parlato a voce al pc lui non fa quello che dici.
Simulazione di trading
puoi fare così:
Codice PHP:mysql_real_escape_string(htmlentities("Ciao Mamma"));
Permessi di invio
Rispondi quotando