я пока не страдаю склерозом, то что недавно написано помню. Не надо цитировать все подряд, и вообще ничего не надо цитировать если ваш комментарий этого не требует. Не превращайте пост таким цитированием в большие бесполезные портянки.
Сообщение от Tomson123
А то малоли что отправят через авдресную строку
Не надо заниматься чепухой - strtr, str_replace и mysql_real_escape_string при выводе данных из базы, это полнейшая чепуха.
mysql_real_escape_string - это для экранирования данных перед записью в базу для исключения инъекции. Эта функция используется оригинальным расширением MySQL, которое разработчики настоятельно не рекомендуют использовать так как в новых версиях РНР оно исключено. Вместо этого расширения используйте mysqli или PDO, и работая с БД посредством подготовленных запросов, в которых экранирование будет выполнятся автоматически самим драйвером.
Смотри... вся эта чепуха прописана там не для радости или красоты!
Обьесняю! mysql_real_escape_string отвечает если я не ощибаюсь за то чтобы не было SQL иньекций! Торбишь чтобы какой нибудь залетный интузиаст не смог делать запросы в БД закоментировав часть моего обрашения к бд и прописав свое!
Эти постоянные переменные, функции обработки текста и т д служат для того чтобы какой нибудь дурачок не смог писать посты с сотней двумя буквами и сотней пробелов между неми ними! Чтобы небыло сотни отступов между двумя сообщениями! Да, можно было бы довольствоваться одной функцией htmlentities при этом на выдаче данные которые добавляются полностью без модерации могут быть засоренны сотней ненужных символом! Которые будут портить вид всего сайта, особенно если утебя еще идет и мобильная версия! Бывали случаи когда на форуме писали посты дети так что приходилось долго пролистывать вниз чтобы добраться до следушева поста, хотя в текушем было всего несколько слов!
Замена же "\'" на "'" и т.п., это глупости. Куда полезнее при записи данных пользователя в БД удалять экранирование пользователя. А каким методом произведен запрос можно узнать из $_SERVER["REQUEST_METHOD"], а с какого домена из $_SERVER["HTTP_ORIGIN"], правда старые браузеры такой заголовок могут и не передавать. В случае проверки браузер ли производит запрос, проверка сложнее.
И как ты видишь тогда BB теги сылок,html кода и т д на выдаче после того как ты порезал все теги там?
|