Jeg har støtt på et lite paradoks. Brukere av siden min skal kunne redigere en profil, hvor de kan skrive pluss-minus hva som helst. Av sikkerhetsmessige årsaker brukes mysql_real_escape_string-funksjonen for å forhindre dem i å utnytte dette profilsystemet, men escape-string-greia ødelegger også alt som blir skrevet! Hvis man legger til for eksempel et «'»-tegn, så hives det inn tusen skråstreker og alt blir bare rart.
Hvordan kan jeg ivareta sikkerheten, men også la brukere bruke tegn som «'» og «"». FreakForum gjør jo dette, og jeg tviler på at jeg kan kjøre en MySQL Injection her...
Hvordan kan jeg ivareta sikkerheten, men også la brukere bruke tegn som «'» og «"». FreakForum gjør jo dette, og jeg tviler på at jeg kan kjøre en MySQL Injection her...
