characters zoals " niet als code gezien laten worden door PHP

Je kan er een backslash voorzetten zoals \" of \'

Of op deze manieer bijvoorbeeld:

$bar = <<<EOT
bar
    EOT;

Dit is de zogenaamde 'heredoc' syntax

Dat klinkt als een blacklist.

Blacklists als deze zijn niet echt gewenst omdat als je karakters mist, je beveiliging een lek heeft.

Bedien je van de regel filter input, escape output.

Voor het escapen van output (het onschadelijk maken van tekst in de HTML context) kun je htmlspecialchars() gebruiken.

Omdat dit een onderwerp is wat in de categorie "security" valt raad ik je dringend aan om jezelf goed te verdiepen in deze materie.

EDIT: Ik snap ook niet helemaal waar je naartoe wilt? Alles wat niet in PHP-blokken staat is geen PHP, tenzij je met lijpe functies als eval() bezig bent ofzo. Wat probeer je te bereiken? Als je je zorgen maakt dat iemand mogelijk arbitraire PHP-code kan uitvoeren dan heb je hele andere security-problemen lijkt mij :].

Bedankt voor de tip, hij werkt nu, en Thomans van den Heuvel, het is niet iets met beveiliging, het was unwanted characters uit een linkje halen.

$unwantedCharacters = array("!",
"@",
"#",
"$",
"¤",
"%",
"€",
"^",
"&",
"*",
"(",
")",
"=",
"+",
"[",
"]",
"{",
"}",
"\\",
"|",
":",
"\;",
"\"",
">",
">",
",",
".",
"?",
"/",
"`",
"~",
"'"
);

$string = str_replace($unwantedCharacters,"",$string);

een aantal van die karakters kunnen anders best in een link thuishoren:

de ? en de & voor de GET parameters
een / staat ook 99 van de 100 links net al een .

ook een @ kan in een link voorkomen net als de :


http://username:[email protected]/~usersdir/index.php?id=12&cat=3 lijkt me een prima link.

en anders heeft php nog leuke filter-functies

<?php $link = filter_input(INPUT_POST, 'formelement', FILTER_SANITIZE_URL); ?>

[size=xsmall]Toevoeging op 17/06/2015 18:09:38:[/size]

dat rare icoontje in de link komt waarschijnlijk voort uit een bug hier op phphulp.

na username komt in de link de :

Of gewoon urlencode() ?