mysql_real_escape_string eller htmlentities først?

Tags:    php

Hej Udviklere,

jeg vil lige høre om det vil gøre nogen forskel at man bruger htmlentities() før mysql_real_escape_string()?

Umiddelbar synes jeg ikke det skulle gøre nogen forskel, men det kan være jeg tager fejl.

Mvh Martin



Nej.

htmlentities() omskriver kun indhold til så de matcher entities fundet i normal HTML, f.eks. å

mysql_real_escape_string() tilføjer backslashes til de tegn der kan bryde ud af en SQL string og derved ændre den oprindelige SQL.



Jeg ved skam godt hvad de gør :) Jeg skulle bare være sikker på om det var lige meget hvilken der blev brugt først.

Hvis jeg skal sikre mig imod cross-site scripting er det så nok med at køre strip_tags eller er det bedre med htmlentities?



strip_tags fjerner jo så alt HTML og efterlader den rå tekst. Det afhænger jo af hvilket resultat du ønsker.



Jeg er ved at lave en funktion hvor en parameter hedder $allowHTML og derudfra tillader HTML i indholdet eller ej. Så jeg vil mene jeg skal bruge strip_tags da det ikke vil være kønt at se HTML koden hvis den alligevel ikke skal tillades.



Tjah... det lyder jo logisk nok. ;)



Jeg ville bare være helt sikker :P



t