Код (Text): <? function GET($GET) { $GET=htmlspecialchars($GET); $GET=preg_replace('/[^a-z0-9_]/', '', $GET); return $GET; } $GET_s=GET($_GET['s']); $order=GET($_GET['order']); $top_limit=GET($_GET['top_limit ']); $data=mysql_query("SELECT * FROM table WHERE server='$GET_s' ORDER BY $order LIMIT $top_limit "); пример limit может быть (100) (10,100) он фильтрует а вот иньекции и любые коммнады <$cmd ....> примерно так, наскоко ета функция защищает?
MAXiDROM Как поведет себя с urlencode? =) Опять же, пробел (%20) не пройдет Да и использовать регулярку для фильтрации _GET запросов... )
капец.. для фильтрации в mysql есть специализированая функция, которая отфильтрует все нехорошие символы которые не понравятся данной версии мускла.
а можно ссылки на мануалы, если есть русские. я вот думаю сделать Код (Text): $ip=getenv("REMOTE_ADDR"); $URL=getenv("HTTP_REFERER"); $UNION=фильтр('UNION', '', $URL); if($UNION) { запрос на добавления ip в базу банов (пример мускул) } на скоко ето будет рентабильно?
MAXiDROM, у тебя фобии? Для каждого типа данных свои методы проверки, в зависимости о того, куда эти данные пойдут.
охото сделать одну функцию, но расширенную. и применять на каждой странице, уже не думая что есть дырка в GET или POST.
MAXiDROM У меня для проверки: htmlspecialchars(trim($data)) И для данных (не числовых) которые использую в SQL - mysql_real_escape_string. Все. Пока жалоб нету.