Вопрос по безопасности передачи данных из формы.

addslashes - заменить на *_escape_string

также не забывать что у тегов могут быть разные js события onmouseover и тд.

А можно поподробнее про *_escape_string - что вместо звездочки? нашел

mysql_real_escape_string - это?

mysql(i)?_real_escape_string, смотря какое расширение для доступа к бд у вас используется. А вообще если используете ВП, лучше юзать встроенные функции которые умеют правильно экранировать данные http://codex.wordpress.org/Data_Validation

Заменил addslashes на mysql_real_escape_string (mysqli_real_escape_string) Данные перестали передаваться из формы.

Добавил обработку переменной с помощью - esc_sql() - прикрыло вообще все тэги \n соответственно теряется все форматирование - не подходит... как быть?

в моем варианте ни один лишний тэг не пропускает но вот вопрос с командами sql как от них обезопасится?

Вы забываете что у тегов есть еще атрибуты.

http://codex.wordpress.org/Data_Validation

$wpdb->insert( 'mytable', array('myrow' => $value) );



$wpdb->prepare(

  'INSERT INTO table (myrow) VALUES (%s)',

  $value, //an unescaped string (function will do the sanitization for you)

);

и тд

В силу малоопытности не очень понимаю как это может пройти - обьясните на примерах ?

$wpdb->insert( 'mytable', array('myrow' => $value) );



$wpdb->prepare(

  'INSERT INTO table (myrow) VALUES (%s)',

  $value, //an unescaped string (function will do the sanitization for you)

);

попытался добавить prepare - перестала работать запись. Где то нарушил синтаксис. в VALUES нужно %s или %d указывать через запятую количеством в строгом соответствии с $value?

делал так:

$wpdb->query(

	$wpdb->prepare(

		"INSERT INTO `my_table` ( id, post_content, meta_value, post_excerpt ) VALUES ( %d, %s, %d, %s )",

		array(

		NULL, 

		$metakey, 

		0,

                ' '

	) 

  )

);

<p onmouseover="alert(1);">текст</p>

id null не обязательно указать если он null.

Примерно так. Попробуйте метод insert

Добавил еще регулярку которая просто убирает всякие drop и onmouse..

метод update, оказывается, автоматически экранирует кавычки.

Спасибо за подсказку с null - попробую. Я уже ночью во сне тоже пришел к выводу что нужно попробовать убрать.

ой-ой-ой-ой.... руки прочь от компьютера!

для начала вам надо определиться, что пользователю можно отправлять и что вы хотите показывать.

что за форма?

Я б вам дал доступ на сайт в тест, но боюсь - вдруг вы мне все уничтожите))))

В форме пользователь заполняет данные о своей фирме- должен быть минимальный обьем доступных тегов для форматирования документа, данные на русском языке, поэтому все эти дропы могу смело запрещать. Доступны абзацы, переносы, заголовки, списки и по мелочи. Для этого к текстареа подключил JS вставку тегов, остальные закрыл как писал выше. Сам метод update как выяснилось добавляет слэши к кавычкам, так что возникла проблема - не работает вставка стилей через спан. Но это некритично.

И вообще что-то мне уже кажется, что я заморачиваюсь больше чем надо. Но все советы с благодарностью приму, так же как и примеры готовы решений.