[ pera zdera @ 23.04.2009. 11:12 ] @
Imam jednu ogromnu formu za pretragu koja ima sve fiksne vrednosti koje moze da posalje, ali i jedan text box. Kako filtrirati text box koji moze da ima bilo koju vrednost? Da li je pametno proveravati sve fiksne vrednosti na serverskoj strani, a ako se ne nalazi u listi odbiti zahtev? Posto vec ima text box, mislim da je glupo proveravati sve vrednosti, kad kroz text box moze bilo sta da se posalje.

Kako filtrirati komentare? Da li je dovoljno pustiti ih kroz $s=mysqli_real_escape_string($baza,kses($s, array())). Da li je dobra zastita od spama samo sa slucajnim tokenom, posto je kepca malo dosadna za korisnike?
[ Nikola Poša @ 23.04.2009. 12:48 ] @
Ne znam zašto bi sad vršio neka specijalna filtriranja polja za pretragu, dovoljno je samo da ga trim-uješ. Možeš eventulano da ogranićiš koirnsika da unosi samo slova i brojeve (/^[a-zA-Z0-9]/), al' sve zavisi od tvojih potreba i ciljeva....

Što se komentara tiče, pored korišćenja mysqli_real_escape_string, trebao bi da escape-uješ i HTML karaktere, jer npr. korisnik u tekstu komentara može da unese samo jedan zatvoren div (</div>), pa da ti poremeti celu strukturu sajta. Zato treba da korisitiš htmlspecialchars, ili htmlentities, skoro da je svejedno. A i ja mislim da je što se komentara tiče dovoljna samo kombinacija addslashes + htmlspecialchars...
[ pera zdera @ 23.04.2009. 17:54 ] @
Kses klasu koristim za filtriranje html-a i javascript-a. U PHP security guide stalno ponavljaju da je filtriranje podataka obavezno zbog sigurnosti...