WN - Lyckas inte få bort %22 från sträng i PHP

WN (https://www.wn.se/forum/index.php)

- Serversidans teknologier (https://www.wn.se/forum/forumdisplay.php?f=4)

- - Lyckas inte få bort %22 från sträng i PHP (https://www.wn.se/forum/showthread.php?t=8375)

Jag har ett antal php-skript som tar emot GET-argument som den skickar till mySQL. För att minska risken för SQL-injektioner kör jag dessa GET-strängar genom en funktion som tar bort tecken i stil med ' och "
Men jag lyckas inte få min funktion att ta bort %22 från strängen, trots att jag försöker få den att filtrera bort "%"

Kod:

function safe_text($text)

{

        $bad_chars = array("\$","\"","\'","%","&","<",">");

        $text = str_replace($bad_chars, "", $text);

        return $text;

}

Anledningen till att jag undrar om just %22 är att jag just körde ett säkerhetstest (Nessus) som varnade mig för potentiella sql-injektioner i form av /dir/filnamn.php?argument='%22

$text = preg_replace("/["'`]*/",'',$text); känns lite enklare.. (ja du får ju fylla på själv med tecken).

Varför inte använda PHP:s egen funktion mysql_escape_string()?

Du kan ju köra med

$text = urldecode($text);

Jo men nu handlar det ju om att få bort backtick, jag vet inte om nån av de där tar bort den faktiskt?

Om du vill skydda dig mot SQL-injektioner är mitt tips att kolla på
http://se2.php.net/mysql_real_escape_string