[Lukas]

Jag har ett antal php-skript som tar emot GET-argument som den skickar till mySQL. För att minska risken för SQL-injektioner kör jag dessa GET-strängar genom en funktion som tar bort tecken i stil med ' och "
Men jag lyckas inte få min funktion att ta bort %22 från strängen, trots att jag försöker få den att filtrera bort "%"

Kod:

function safe_text($text)
{
	$bad_chars = array("\$","\"","\'","%","&","<",">");
	$text = str_replace($bad_chars, "", $text);
	return $text;
}

Anledningen till att jag undrar om just %22 är att jag just körde ett säkerhetstest (Nessus) som varnade mig för potentiella sql-injektioner i form av /dir/filnamn.php?argument='%22