Sicurezza chat

[elettricistafaidate]

Salve a tutti, sto creando una chat per il mio sito e avrei bisogno di qualche consiglio sulla sicurezza.

Codice:

$inptext= ($_POST["inpmex"]);
$inptext= mysql_real_escape_string($inptext);

questa è quello che ho fatto, ho preso il messaggio e ho usato questa funzione. Vorrei sapere se questo è abbastanza per evitare problemi futuri e se è corretto in questo modo dato che ho letto che dovrebbe aggiungere uno \ vicino i caratteri speciali ma ho controllato nel database e vengono aggiunti normalmente.
Grazie per l' aiuto

[karl94]

Le funzioni mysql_* sono deprecate e dovresti usare quelle mysqli_* piuttosto. Comunque, se usi una qualche variabile per costruire una query, contenente informazioni che provengono dall'esterno è corretto usare la funzione che hai riportato. Questo ti protegge solamente da attacchi di tipo SQL injection. Poi ad esempio devi anche controllare bene quello che vai a scrivere nel documento HTML e anche lì fare l'escape dei caratteri speciali convertendoli nelle rispettive entità HTML.

[elettricistafaidate]

ti ringrazio sei stato molto chiaro