Is password sanitisation echt noodzakelijk? Slaan we ooit het password op?

$password = mysqli_real_escape_string($dbc,trim($_POST['password']));

Kunnen we mysqli_real_escape_string ook anders doen?

LETOP: http://dev.mysql.com/doc/refman/5.1/en/news-5-1-11.html

php_logging 4. is niet up to date

Ik vind de database minder elegant hierbij, ik probeer het algemeen te houden.
Ik zou dat WEL doen, als hij in een query gebruikt wordt, natuurlijk maar meer als laatste stap.

Gaat het om sanitisation en dus whitelisting,
dan is de vraag feitelijk, welke characters zijn toegelaten in een search..

[A-Za-z0-9 .,] natuurlijk maar welke nog meer..?

+,-,: als je google functionaliteit biedt, maar dat lijkt me eigenlijk sterk voor de meeste toepassingen die jullie zullen maken in de komende tijd..
Men mag wel zoeken op Frànçöis of zoiets dus ook alles met de Unicode Designation Letter.
Die dingetjes aan de letters heetten diacritics en kun je zien als internationale variaties op letters. Dit is overigens alleen zo in Unicode.. Dus communiceer je wel in unicode? Of in UTF-8?
Communiceer je in unicode, dan kun je zoeke op diacritics met RegEx: ^[.\p{L}]*$, zie: https://stackoverflow.com/questions/8923729/checking-for-diacritics-with-a-regular-expression

In verband met zoeken zou je ook het volgende kunnen overwegen:
https://stackoverflow.com/questions/6837148/change-foreign-characters-to-normal-equivalent
En dan op de te doorzoeken tekst dezelfde bewerking doen. Dat zorgt voor meer matches..

Kortom:
Je kunt dus ALLES weghalen, wat geen reguliere letter is + . , - () en {} spatie ! ?
niet genoeg om mee te programmeren.. Wel genoeg om google achtig te zoeken.
Dat laatste is natuurlijk alleen interessant als je dat daadwerkelijk ondersteund.
Kortom, de huidige search query is wat breed en database is niet echt nodig.

Tja, daar is dat blame knopje voor, maar kennelijk ben ik de eerste die het ontdekt..
Ik ben niet zo'n blamer, ik fix het wel.

Normale gang van zaken, als je ziet dat de update de code breekt is blamen op degene die het gepost heeft. Da's nu een hoop uitzoekerij, waar ik geen zin in heb.

-ik mis de isset constructie, dit breekt potentieel de code.
sanitise string haalt het gevaar eruit, maar is geen goede whitelisting.
In feite kun je direct checken tegen drie waarden.

$range = preg_replace('/[^0-9.]*/','',filter_var($_POST['range'], FILTER_SANITIZE_NUMBER_INT));

Heeft het zin de . toe te voegen als je eerst santized naar int ?
:)