Mno, ja ti napsal funkce, jak to resim ja.
Kdyz tam davas url, tak ji escapujes pres urlencode.
Kdyz to davas do html, tak escapures pres htmlspecialchars.
A protoze se ty funkce jmenuji pokazde jinak, tak behem 10 let pouzivaji jsem sjednotil ty nazvy takhle.
A pridal jsem ti zapis, jak se to pouziva, co na url a pak to cele prevadis na html, jeste.
Tech funkci mam asi 10. Ale ty nepotrebujes. Napriklad, kdyz potrebujes napsat pres php do html onclick uvozovky (kdyz jich kombinujes vic), tak na to mam spesl funkci, ktera to prevadi na "e;.
Ty funkce mam definovane ve func.php nebo ruzne obdoby.
Tve minus, kdyz si z te fukce odstranis tu hlavni cast, htmlescape. To pak davas prilezitost hackerum.
To mas jak ten sql kod, cos psal jinde. Davas tam primo udaj ze session. zadne sql escapovani. staci v session prepsat, pridat apostrof nebo OR a smazu ti celou databazi :)
DELETE * FROM tab WHERE user_id=".$_SESSION['user_id'] - takovy prikaz maze celou tabulku|
DELETE * FROM tab WHERE user_id=1 OR 1=1 - takovy prikaz maze celou tabulku|
$SESSION['user_id'] = '1 OR 1=1'
Pouziti apostrofu
DELETE * FROM tab WHERE user_id='...'
DELETE * FROM tab WHERE user_id='' OR '1'='1''
$SESSION['user_id'] = '\' OR \'1\'='\1'