Форум PHP

на сайте есть поля для ввода данных, скажите как защититься от того, чтобы пользователь не ввел туда "%,", " и всякие "опасные" символы или ещё чего-нибудь, что может поломать базу и всё остальное. Если можно пример.

Для защиты от SQL инъекции делайте так:

<?   //esli parametr 4islovoj   $id = intval($id);   //esli strokovoj   $name = mysql_escape_string($name);   mysql_query = "SELECT * FROM tbl WHERE id = $id AND name = $name"; ?>

Возможно вас заинтересует статья
http://www.softtime.ru/info/articlephp.php?id_article=35

а) не для защиты, а для корректной передачи значений.
б)

$name = "'" . mysql_escape_string($name) . "'";   mysql_query = "SELECT * FROM tbl WHERE id = $id AND name = $name";  ?>

От атак типа Cross-Site-Scripting (XSS) - это когда пользовтаель специально вводит некторые данные, например код JavaScript, а потом страница отображает этот код. Могу сказать: все попытки внедрения сценариев JavaScript в данные отловить практически невозможно. Они выполняются не только с помощью тегов <script></script>, но и с помощью других элементов html, например <img onboard="destroy()" />. Следовательно следует удалять весь код HTML. Это делают с помощью функции htmlspecialshars(), которая заменяет символы < > на &lt; и &rt; . Другая возможность - вызвать функцию htmlentities(), еще есть функци strip_tags() - из названия понятно, что просто удаляет все теги... Но на самом деле защита должна быть комплексной и многоуровневой - эти методы способны остановить значительное число взломщиков, но не всех, например в реализации функции htmlentities() есть ошибка связанная с некорректной обработкой последовательносей от 0X00 - 00x0A - при использовании определенным образом можно вызвать переполнение буфера - и тогда ...

скажите достаточно ли защиты для поля ввода данных:

<html> ..... <body> <form style="width:448px" method="post" action="<?php echo $_SERVER['REQUEST_URI']?>" target="_self">  <? if($submit){ $pole1= "'" . mysql_escape_string($_POST['pole1']) . "'";  $q=mysql_query("insert into table1 (text) values ('$pole1')",$db);  ?>      <input name="pole1" type="text" size="20">     <input name="submit" type="submit" value="enter">  <? }?> </form> </body> </html>

В Вашем коде лишняя пара апострофов.
если переписать строку так:

$pole1= "'" . mysql_escape_string($_POST['pole1']) . "'";   $q=mysql_query("insert into table1 (text) values ($pole1)",$db);

то этого будет достаточно, чтобы злоумышленник не смог использовать указанный запрос для проведения атаки путем SQL-инъекции в код запроса. Грубо говоря, запрос становится неопасным.

скажите а для корректного вывода этих данных из базы данных на экран через запрос, что-то нужно использовать, например, $msg = htmlspecialchars($msg); ?

Если эти данные не хранят подготовленные и проверенные фрагменты HTML-кода, а хранят обычный плоский текст - безусловно. Более того, если нужно обеспечить преобразование переносов строк CR LF в теги разрыва строки <br/>, требется вызвать еще одну функцию.

$outmsg = nl2br(htmlspecialchars($msg));  echo $outmsg;

Я намеренно поменял имя переменной.
Это две разные сущности:
в $msg - плоский текст
в $outmsg - построенный по нему HTML-код для вывода в браузер.
В первом можно что-то искать, считать символы, сравнивать.
Второй можно только выводить в качестве Content-Type: text/html. (или в качестве значений атрибутов тегов).

Но делать эти преобразования нужно уже после того, как данные из БД получены SELECT-запросом. А точнее - перед самым выводом.

То есть,конечно, хранить проиготовленный код тоже можно. Но это очень сильно ограничивает разработчика, потому что никаких практических действий с этим кодом (поиск, сравнение, сортировка) делать уже не получится.