str_replace PROBLEMAS

morpheus747 · #1 (**permalink**) 04/09/2009, 20:54

He estado teniendo un serio problema con str_replace que no sé como solucionar
les mando el código

Código PHP:

  public function forro($param)#te caga los SQL injections

    {

    $a1= array("=", ">", "<", "!", "(", ")", "'", "\"", ";");

    $b1= array("&#061", "&gt", "&lt", "&#033","&#040", "&#041","&apos", "&quot", "&#059");

    $sql = str_replace($a1, $b1, $param);

    return $sql;

    }

Yo sé que es prog orientada a objetos pero no se espanten el problema es exactamente de str_replace...

mi problema es el uso... cuando yo le paso el argumento algo'esto me detecta el ' y lo reemplaza por &apos pero si yo le doy 4'
no lo detecta... O.o y por lo tanto no lo reemplaza
yo se lo estyo mandandooo desde una función o variable común como llamaríamos a una función normal para probarlo
forro("4' funciona"); Y NO FUNCIONA XD
me imprime 4' funciona
pero si le pongo dale'funciona me imprime dale&aposfunciona
lo cual es correcto
PORKE ES QUE NO LO DETECTA cuando esta o al principio o con un espacio o al final!!
si pongo forro("esto tiene que funcionar'");
también me hace la vida imposible!!!!!
alguno tiene idea como puedo hacer un filtrador eficiente!? algun código mejor que ese?
o cual es el problema que yo estoy teniendo?

abimaelrc · #2 (**permalink**) 05/09/2009, 00:45

Lo trate y sí los convierte, solo tienes que ver el codigo fuente para que veas. Lo que sucede parece es que el navegador lo interpreta y lo demuestra con lo que significa el codigo.