[php] sanitize functie

Wat is er mis met mysql_real_escape_string?

FILTER_SANITIZE_MAGIC_QUOTES

Whuh? Magic quotes moet je niet filteren, die moet je uitzetten. Verder heb ik eigenlijk geen idee wat je nou bedoelt met "filteren" en "zuiver maken". Wat wil je bereiken?

MueR schreef op donderdag 25 februari 2010 @ 09:41:
[...]

Whuh? Magic quotes moet je niet filteren, die moet je uitzetten. Verder heb ik eigenlijk geen idee wat je nou bedoelt met "filteren" en "zuiver maken". Wat wil je bereiken?

FILTER_SANITIZE_MAGIC_QUOTES doet, in tegenstelling tot de naam, juist gewoon addslashes()

maar sanitizing is verder natuurlijk heel iets anders dan correcte escaping, dus ik vraag me ook af wat de topicstarter probeert te bereiken...

Anders introduceren ze lang en breed nadat iedereen magic quotes stom vind een constante met magic quotes in de naam welke het gedrag nadoet. WTF overkill.

Ten overvloede: mysql_real_escape_string is de Echte oplossing als je een String wilt Escapen voor een Mysql query. En dat doe je dan in de correcte context.

[ Voor 33% gewijzigd door Voutloos op 25-02-2010 10:10 ]

Qtacz schreef op donderdag 25 februari 2010 @ 10:05:
FILTER_SANITIZE_MAGIC_QUOTES is dan mss wel overkill

Je zal toch moeten escapen als je het naar de database wegschrijft, maar addslashes() is daar niet de juiste methode voor.

FILTER_SANITIZE_STRING zet alle karakters met ascii waarde kleiner dan 32 en groter dan 127 om naar html codes als ik me nie vergis.
De bedoeling is dus om een "veilige" input in de database te zetten.

Maar HTML encoding hoef je pas te doen op het moment dat je het als HTML output. Ik zou dat niet zo in de database opslaan tenzij je daar echt goede redenen voor hebt. Daarbij is het compleet onzinnig om alle non-ASCII waardes te veranderen in entiteiten; gewoon htmlspecialchars() is doorgaans afdoende.

crisp schreef op donderdag 25 februari 2010 @ 09:49:
FILTER_SANITIZE_MAGIC_QUOTES doet, in tegenstelling tot de naam, juist gewoon addslashes()

* MueR zucht eens diep
PHP blijft verbazen

Omdat PHP nog steeds allerlei oude, deprecated, overbodige, ranzige en "verboden" rotzooi ondersteunt omdat ze het vroeger een keer gedaan hebben. Om de oude scripts niet stuk te maken (deden ze het maar, meteen al die vervuiling van het net af) en om programmeurs die vastgeroest zitten in dat soort ranzige praktijken een alternatief te geven.

filter_var is inderdaad ook gewoon een stompzinnige toevoeging die veel functionaliteit die al bestaat in PHP onderbrengt in een behemoth functie met vage syntax en nog vagere constants. Daarnaast zit het ook nog eens vol bugs en is de documentatie van de verschillende filters zwaar onder de maat...

Mwah, de 2 grootste WTF's zijn eigenlijk vooral dat:

1 - de filter_vars methode hardstikke nieuw is (sinds 5.2). Dus eigenlijk gaat het excuus van backward compatibility niet op.
2 - je met 'filter' ook kunt valideren en dan een gefilterde waarde of een boolean terug krijgt

Punt 2 wordt extra hilarisch wanneer je een boolean met waarde false wilt valideren middels FILTER_VALIDATE_BOOLEAN.

Echt, hoe kun je zoiets bedenken....

Je kunt ook mysqli of pdo gebruiken dan kun je gewoon dingen doen als:
$pdo->execute("select * from taUser wher Username=?", $_GET['username'])

Je hoeft dan niks te escapen of te controleren, dat gebeurt allemaal al (XSS moet je nog wel zelf tegengaan). Al is jouw vraag mij niet helemaal duidelijk

Verwijderd schreef op donderdag 25 februari 2010 @ 16:54:
XSS moet je nog wel zelf tegengaan

Dat is in een DL helemaal niet aan de orde; daar zorgt je view voor.