Короче нужна такая функция, которай я передаю переменную, а она ее обрабатывает и делает безопасной от XSS и SQL-enjection. Функция должна изменять переменную в своем теле (по ссылке), и если переменная была опасна вернуть TRUE иначе FALSE.
Вот что получилось у меня:
Код:
<?php
function filter(&$value)
{
$b=FALSE;
if(strpos($value,"'"))
{
$value=str_replace("'","",$value);
$b=TRUE;
}
if(strpos($value,";"))
{
$value=str_replace(";","",$value);
$b=TRUE;
}
if(strpos($value,"/"))
{
$value=str_replace("/","",$value);
$b=TRUE;
}
if(strpos($value,"<"))
{
$value=str_replace("<","",$value);
$b=TRUE;
}
if(strpos($value,">"))
{
$value=str_replace(">","",$value);
$b=TRUE;
}
return $b;
}
?>
Ну а юзать эту функцию премерно вот так:
Код:
$name=$_POST["name"];
if(filter($name))
{echo "you cant use symbols ',/ here";exit;}
Тока не говорите нафига изменять переменную, если все равно выхожу из скрипта (exit; ). Это на тот случай если выходить не прийдеться, а еще и юзать дальше эту переменную. Ведь я не знаю как дальше будет развиваться все остальное, ради чего я и пишу этот скрипт.
Я фигово разбираюсь во всех атаках, поэтому прошу добавить/исправить код, чтобы он был неуязвим )) даже в том случае, если эту переменну прийдеться использовать дальше как в БД, так и выводить в страницу.