سلام دوستان

من یک اسکریپت پی.اچ.پی نوشتم و در حال تکمیله

و الان می خوام روی امنیت اطلاعات ورودی توسط کاربر کار کنم .

در حال حاضر من یک تابع نوشتم به صورت

function injection_replace( $txtobject )
{
return $txtobject;
}

و کلیه اطلاعات وارد شده در فرم های سایت نظیر فرم عضویت و ورود به سایت و .... با دستور زیر توسط تابع فوق چک میشه :

$username = injection_replace( $_POST['username'] );

هدف از اینکار جلوگیری از sql injection و XSS hacking و نیز حذف کد های html غیر ضروری و خطرناک نظیر <scri pt> و ... هست

حالا برای نوشتن دستورات str_replace دنبال یک مرجع یا لیست کاملی از کدهایی که باید جایگزین بشن می گردم .

1- آیا تابع آماده ای برای این منظور سراغ دارین که کامل باشه و همه موارد رو رعایت کرده باشه ؟؟؟

2- و یا تابع مشابه این مورد رو در یکی از اسکریپت های مدیریت محتوا معرفی کنید تا از اون استفاده کنم . مثلا همچین تابعی اگر در vbuletin یا مامبو یا ... هست بگین کدمش بهتره تا اون روبردارم

و یک سوال دیگه

تفاوت 2 کد زیر در چیه ؟؟؟

$check = mysql_query("SELECT FROM tablename WHERE Username = '".$username."' and Password = '".$password."'");

$check = mysql_query("SELECT FROM tablename WHERE Username = '$username' and Password = '$password.");

می خوام بدونم چرا برخی اسکریپت ها از نقطه استفاده می کنند ؟ نگاه کنید قبل و بعد از .$username. نقطه گذاشته . آیا تاثیری روی امنیت داره ؟؟؟