Yeah, or these two words: &quot;Filter Input&quot;<br><br>Which ever route you take. you also need to do sql injection cleansing.<br><br>scrub, rinse, repeat.<br><br><div class="gmail_quote">On Fri, Nov 28, 2008 at 8:00 PM, Chris Shiflett <span dir="ltr">&lt;<a href="mailto:shiflett@php.net">shiflett@php.net</a>&gt;</span> wrote:<br>
<blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;"><div class="Ih2E3d">On Nov 28, 2008, at 16:59, Michele Waldman wrote:<br>
<br>
<blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
What about inserting a comment<br>
<br>
&lt;script&gt;alert('hi');&lt;/script&gt;'; delete from users;<br>
<br>
Like I'm going to name my table users?<br>
<br>
With that one statement about they have performed a sql injection and html injection in one stroke.<br>
<br>
Bada bing bada bang bada boom<br>
<br>
Next time I display their comment out of the database they are popping up an alert to every user and my users are gone.<br>
<br>
Michele<br>
</blockquote>
<br></div>
Two words: escape output<div class="Ih2E3d"><br>
<br>
--<br>
Chris Shiflett<br>
<a href="http://shiflett.org/" target="_blank">http://shiflett.org/</a><br>
<br>
<br>
<br>
<br>
_______________________________________________<br></div><div><div></div><div class="Wj3C7c">
New York PHP User Group Community Talk Mailing List<br>
<a href="http://lists.nyphp.org/mailman/listinfo/talk" target="_blank">http://lists.nyphp.org/mailman/listinfo/talk</a><br>
<br>
<a href="http://www.nyphp.org/show_participation.php" target="_blank">http://www.nyphp.org/show_participation.php</a><br>
</div></div></blockquote></div><br>