фильтрация данных от сол иньекций

[Winlook]

сейчас я все входящие параметры не церемонясь фильтрую общим фильтром

Цитата:

$text = substr($text, 0, 60000);

$text = str_replace('"', """, $text);
$text = str_replace("<", "&lt;", $text);
$text = str_replace(">", "&gt;", $text);

$text = htmlspecialchars($text);
$text = stripslashes($text);

$text = str_replace('\"', ' ', $text);
$text = str_replace("\'", " ", $text);
$text = str_replace("/", " ", $text);

$text = str_replace("amp;", "", $text);
$text = str_replace("\r\n", "<br />", $text);
$text = str_replace("\n", "<br />", $text);
$text = str_replace("'", "^", $text);

я хочу открыть возможность пользователям вставлять теги и жс-код.но боюсь при этом откроется какая-нибудь уязвимость. поскажите вариант коа в котором эта возможность будет людям доступна

[Виталий Желтяков]

Что значит "открыть возможность пользователям вставлять теги и жс-код"? По-моему данная фильтрация позволяет это делать.

Хотя подход у Вас неправильный - нужно не запрещать отдельные символы, а разрешать необходимые. Я лично применяю следующий фильтр:

Код:

// Очищаем опасные запросы
	if (($request != '')&&(preg_match("/[^(\w)|(\x7F-\xFF-&=.,():;!@?\[\])|(\s)]/",$request))) return '';