Martin Møller Bæk wrote in <3DFA3D11.40006@nospam.aflame.dk>:
>> Nope. HTML er bare helt almindelig tekst. Men du skal huske at escape
>> farlige tegn, ligesom med al anden tekst.
>
> Kunne du ikke lige give et eksempel på farlige tegn.
> Og hvordan escaper man den nemmest.
$sql = "SELECT id, navn, julemand FROM tabel WHERE navn='$navn'";
En eller anden skriver så fx. dette navn:
platfod'; DELETE FROM tabel;
Kan du selv se hvad der sker?
Hvis du bruger mysql kører du bare navnet gennem addslashes(). Så bliver det
lille quote-tegn udskadeliggjort.
Fx:
$sql = "SELECT id, navn, julemand FROM tabel WHERE
navn='".addslashes($navn)."'";
--
Mvh.
Niels Andersen
(la nels. anersyn.)