htmlspecialchars() / htmlentities()

Heey,

ik heb dan het verschil gelezen op php.net van de functies htmlspecialchars() en htmlentities(), Alleen maken ze verder eigenlijk verschil uit in kwaliteit als beveiliging tegen sql injections?

Nja ik gebruik altijd

htmlspecialchars($string, ENT_QUOTES);

SQL injections voorkom je door

mysql_real_escape_string(string, server connection);

Dat is toch omdat anders ' die dingen raar gingen doen in de tabel?en ophalen met stripslashes

dus @syncie, bijv. bij mijn vm systeem, gebruik ik dit dan:

$rij = mysql_fetch_assoc($sql);
          sql_query("INSERT `vms` SET `naar`='".htmlspecialchars(addslashes($rij['user']))."', `datum`='".time()."', `bericht`='".htmlspecialchars(addslashes($_POST['bericht'])."'"));

Waar moet ik er dan ingooien met dat mysql_real_escape_string(...); om sql injetions te voorkomen ?
Aangezien ik altijd dacht dat met een htmlspecialchars() dat dan hetgene wat je in de database pleurt ook met INSTERT INTO erin pleurt letterlijk, en die niet gaat uitvoeren ?

Verschil was volgens mij alleen dat htmlentities() é, ó, ò, ä, enzo omzet naar de juiste html dinges (é, ó, ò, ä denk ), htmlspecialchars() doet dat niet en laat die gewoon zo.

@ Badteendt:

$rij = mysql_fetch_assoc($sql); 
          sql_query("INSERT `vms` SET `naar`='".htmlspecialchars(mysql_real_escape_string($rij['user']))."', `datum`='".time()."', `bericht`='".htmlspecialchars(mysql_real_escape_string($_POST['bericht'])."'"));

Maar je moet je data altijd zo "puur" mogelijk in de DB stouwen, dus niet nu htmlspecialchars() / htmlentities() doen, maar pas als je het eruit haalt.

ok dank, ik ben meteen eens erder gaan kijken naar sql injection vookoming, [url]http://www.phphulp.nl/php/tutorials/3/444/1010/[/url] Dat je ook addslashes kan gebruiken. Zit daar dan wel verschil in in gebruik ?

Overgestapt naar htmlentities

Ja, er zit zeker verschil tussen mysql_real_escape_string en addslashes(), mysql_real_escape_string is nog veiliger.

Syncie schreef:

Overgestapt naar htmlentities

Ja, er zit zeker verschil tussen mysql_real_escape_string en addslashes(), mysql_real_escape_string is nog veiliger.

dus ik moet nu gewoon ff met dreamweaver zoeken anar addslashes,en kiezen voor replace met mysql_real_escape_string
?

En raad je ook aan om htmlspecialchars te vervangen door htmlentities ? of dat niet ?

Dat ook, en dan htmlentities($var,ENT_QUOTES); omdat je dan ook ' veranderd in html waardoor XSS helemaal onmogelijk is.

btw, waarom gooi je al die shit al in je database...doe dat dan als het UIT de database haalt....dit vind ik nooit zo fijn omdat je er dan niks meer mee kan..

de htmlentities gebruik ik ook niet bij het erin pleuren, daar gebruik ik nu dan alleen de mysql_real_escape_string , en bij het eruithalen gebruik ik pas de htmlentities.

mysql_real_escape_string() houdt rekening met het karaktertype zegmaar, addslashes() (en mysql_escape_string() niet).

@ BlackWhizz: Wat is een ' dan in HTML?