Форум PHP

Просмотрите плиз правильность обработки текстового поля перед занесением в бд

<?  @$comment=mysql_escape_string(wordwrap(substr(strip_tags(trim($_POST['comment'])), 0, 1000), 60, "\n<br>", 1)); $comment = (!get_magic_quotes_gpc()) ? mysql_escape_string($comment) : $comment;   mysql_query ("INSERT INTO `mes`(`comment`) VALUES ('$comment')");

Прошу помочь исправить ошибки по безопасности

а вы сами не видите, что вы функцию mysql_escape_string() два раза для одного 'comment' используете?

ага. точно!

А разве не достаточно использовать get_magic_quotes_gpc, а при выводе htmlspecialchars?

вы знаете что такое get_magic_quotes_gpc()?

или это из рода "слышал звон..." :-)

if(get_magic_quotes_gpc()) stripslashes...
а потом mysql_escape_string()

прошу прощения скопировал не ту строчку исправил...и добавил обрезку слэш...

<? @$comment=wordwrap(substr(strip_tags(trim($_POST['comment'])), 0, 1000), 60, "\n<br>", 1);  $comment = (!get_magic_quotes_gpc()) ? mysql_escape_string(stripslashes($comment)) : stripslashes($comment);   mysql_query ("INSERT INTO `mes`(`comment`) VALUES ('$comment')");

<? $comment = (get_magic_quotes_gpc()) ? mysql_escape_string(stripslashes($comment)) : mysql_escape_string($comment);  ?>

> strip_tags

Надо убрать.

> "\n<br>"

А что Вы будете делать на выходе? htmlspecialchars() быстренько Ваш тег в текст приведёт.

почитав внимательно http://phpfaq.ru/slashes и поэкспериментировав

<? @$comment=wordwrap(substr(strip_tags(trim($_POST['comment'])), 0, 1000), 60, "\n", 1);  $com = (!get_magic_quotes_gpc()) ? mysql_real_escape_string($comment) : stripslashes($comment);  mysql_query ("INSERT INTO `mes`(`comment`) VALUES ('$com')");