LS1987
08-04-2012, 10:45
Vorrei chiedere quando utilizzare queste 2 funzioni:
htmlspecalchars() serve per evitare gli attacchi di tipo "cross-site scripting" e sostituisce i tag html con simboli sicuri (es. <a> diventa < a >).
mysql_real_escape_string invece è la funzione che si usa per evitare gli attacchi di tipo SQL injection e sostituisce tutti i caratteri che potrebbero avere un senso in SQL con dei caratteri di escape.
So che devono essere applicate dell'input all'utente, ma non sempre vengono utilizzate entrambe. La prima dovrebbe essere applicata all'input di un utente in un form, se non ricordo male.
Queste 2 funzioni includono già il trim?
htmlspecalchars() serve per evitare gli attacchi di tipo "cross-site scripting" e sostituisce i tag html con simboli sicuri (es. <a> diventa < a >).
mysql_real_escape_string invece è la funzione che si usa per evitare gli attacchi di tipo SQL injection e sostituisce tutti i caratteri che potrebbero avere un senso in SQL con dei caratteri di escape.
So che devono essere applicate dell'input all'utente, ma non sempre vengono utilizzate entrambe. La prima dovrebbe essere applicata all'input di un utente in un form, se non ricordo male.
Queste 2 funzioni includono già il trim?