Какой самый оптимальный вариант обработки переменных для внесения в БД? PHP: $text= htmlspecialchars($text); $text = mysql_escape_string($text); Этого к примеру достаточно?
mysql_escape_string() deprecated, поэтому лучше mysql_real_escape_string() Для цифр это не нужно, для цифр нужна проверка типа или жесткое приведение к нему. Для запросов типа like или grant нужно что-то типа addcslashes($text, '%_'); Если magic_quotes_gpc on - нужно stripslashes() htmlspecialchars() вообще не имеет отношения к базе данных, его надо использовать если ты не в базу вносишь, а браузеру отдаешь.
$text = stripslashes($text); $text = mysql_real_escape_string($text); А очерёдность должна быть такая?
Как граммотней с точки зрения безопасности? Так: if (isset($_GET['text'])) { $text = $_GET['text']; $text = stripslashes($text); $text = mysql_real_escape_string($text); } Или так? if (isset($_GET['text'])) { $text = $_GET['text']; } $text = stripslashes($text); $text = mysql_real_escape_string($text);
allowance и в чём логика? напишите словами стоит посоветовать купить норм. книжку по пхп и читать =) почитать про XSS и Sql Injection. так же можно про Php Injection