И в чём же мне нужно разобраться?) Хотите сказать, что этот пост никому не поможет?
Вопросы риторические, понятно, что смысл вашего поста был просто что-то написать, а не дать дельный совет.
В данном случае 0 пофильтруется, хотя является нормальным числовым значением.
Это лишь один из возможных вариантов проверки.
Ничего не мешает убрать её и поставить свою (на количество значений в массиве, на допустимость тех или иных значений).
Зачем здесь strip_tags?
Иногда мне не нужны html теги в переменной и лучше их сразу удалить, чем обходиться одним htmlspecailchars.
Кое-что поменял в посте, что всех не много раздражало (я про is_array).
В остальном, я не вижу ошибок в посте, только советы как тем или иным программерам удобнее/привычнее составлять условия.
Но пока я не увидел главного — что данный пост не помогает защитить свой скрипт от взлома.
Поэтому пост и называется "… Частые ошибки". В идеале, конечно, лучше пользоваться фреймовиками (хотя мне проще самому написать скрипт), где уже всё готово и проверенно временем.
Тем не менее не все хостеры бегут и обновляют версии ПО, до сих пор есть функции, которые ещё год или более были признаны как устаревшими и их ещё используют довольно успешно.
Функция идентична mysql_real_escape_string(), исключая то, что mysql_real_escape_string() принимает параметром ещё и указатель на соединение и экранирует в зависимости от кодировки. mysql_escape_string() не делает этого и результат работы не зависит от кодировки, в который вы работаете с БД.
О каком выводе, о какой вставке говорите?
Я показал пример фильтрации данных перед SQL запросом, нигде не написано, что это какой-то вывод.
Я показал кусок из своего скрипта, где мне нужно было получить определенные данные, а не 1 в 1 как было передано через ПОСТ или ГЕТ…
Это ещё тут причём? Или надо было назвать «kojsub_get» ?)
Вопросы риторические, понятно, что смысл вашего поста был просто что-то написать, а не дать дельный совет.
Это лишь один из возможных вариантов проверки.
Ничего не мешает убрать её и поставить свою (на количество значений в массиве, на допустимость тех или иных значений).
Иногда мне не нужны html теги в переменной и лучше их сразу удалить, чем обходиться одним htmlspecailchars.
В остальном, я не вижу ошибок в посте, только советы как тем или иным программерам удобнее/привычнее составлять условия.
Но пока я не увидел главного — что данный пост не помогает защитить свой скрипт от взлома.