[13pixelchen]

Hi,

Ich habe Formulare mit Eingabefeldern, die alles in ne MySQL schreiben. Alles UTF-8, also jede Menge Sonderzeichen können kommen und sollen bleiben. Was allerdings rausgefiltert werden soll, sind alle "gefährlichen" Zeichen (Welche auch nicht escaped etc. werden sollen, sondern rausfliegen).

Wie müsste dann preg_replace aussehen, um "\" und "'" und sonstwas zu kicken?

[beeviZ]

wenn du wirklich alle \ und ' entfernen willst sollte eigentlich n simples dummes str_replace('\\','',$foo); str_replace("'","",$foo); reichen

[13pixelchen]

Hm, wenn das schon alle "gefährlichen" Zeichen sind, okay

[beeviZ]

naja. also ich weiß von \n und \r. ' und " natürlich auch gewissermaßen. klar. aber sonst? keine ahnung. vielleicht wer anders?

[karmacoder]

die werden schon selbst wissen was gefährlich ist:
escape-string()

das einzige was du dabei noch beachten musst ist die ausgabe. wenn z.b. alle ' escaped sind hilft dir das nicht wenn man damit trotzdem code in die db einschleusen kann die du danach ausführst...

[miga]

oder mal bei folgenden Funktionen gucken: htmlspecialchars(), htmlentities(), addslashes(), mysql_escape_string()

[tacker]

Wenn Du ganz sicher gehen willst, machst Du ne Whitelist mit einem Range von erlaubten
Zeichen und löschst alles andere. Das halte ich aber für nicht so doll.
Du solltest dem User schon mitteilen, dass er ein falsches Zeichen angegeben hat,
sonst wundert er sich vielleicht, warum es nicht mehr da ist.

Und zum Schluss halt immer ein PDO::quote oder mysql_real_escape_string.

[13pixelchen]

Ja, das mit dem Escapen klappt schon einwandfrei. Nur da ich UTF-8 habe, ist ne Whitelist recht schwierig wegen der ganzen Sonderbuchstaben in Fremdsprachen.

Ich bin auch sowieso grade am Schrauben, weil wenn jemand einen Namen mit Sonderzeichen eingibt, wird er korrekt UTF-8 kodiert in die mysql-DB übernommen, aber diesen Namen in einer html-Mail korrekt anzuzeigen, oder gar in einem URL-Query zu übergeben, scheiter offenbar an Sonderzeichen mit mehr als 2 Bytes.