pekny den chcel by som sa spytat ako spravne treba filtrovat inputy od uzivatelov z formularov
napr.
$nick = $_POST['meno'];

htmlspecialchars() - viem ze tato funckia prevedie na html entity
addslashes() - ktora prevadza uvodzovky na \" alebo \'

ako este to treba osetrit ked sa tieto data zadavaju do db alebo sa iba pouzivaju pri vybere ?

dakujem za odpovede

pri beznom formulari ti uplne stacia tie dve, ktore si uviedol.

Pri vkladani do DB mysql_real_escape_string (prípadne niečo podobné v mysqli, ak používaš mysqli) a pri zobrazovaní htmlspecialchars.

pri addslashes() ale nezabudni najprv skontrolovať či je zapnuté magic_quotes_gpc inak ti to bude slashovať dvakrát

cize:

<?php
function safe($value){
return mysql_real_escape_string($value);
}
?>

if(!magic_quotes_gpc()) {
$nick = safe(addslashes($_POST['name']));
} else {
$nick = safe($_POST['name']);
}

a potom uz iba insert do db a pri vypise pouzit htmlspecialchars ?

real_escape_string escapuje aj backslash, ktorý si tam dáš addslashes-om. Čo z toho vyplýva?