Søge form problem & og ikke &

<ole>

Du fortæller ikke noget om karakteren af problemerne - og selv min ellers ret så saftspændte fantasi kan ikke levere gennembrud med hensyn til, hvad '&amp;' skulle kunne gøre for dig  =)

/mvh
</bole>

- og det ville være en seriøs fejl, hvis der i adresselinjen kommer til at stå:
    index.php?search=TEST&amp;Bruger=TEST

#2 - det kan der være noget om :D
Problemet ligger i at ud fra adresselinjen laves et link fx
<a href="index.php?search=TEST&Bruger=TEST&amp;side=2">Side 2</a>
Der er muligt at man via PHP kan erstatte alle & med &amp; men hvordan man undgår at der kommer til at stå
<a href="index.php?search=TEST&amp;amp;Bruger=TEST&amp;side=2">Side 2</a>
er det jeg lejer med lige nu.

Du bruger da bare variablerne fra query-strengen. Hvis du bare møger hele requesten videre, har du jo heller ikke noget tjek på, hvad den indeholder. Nu kender jeg ikke din applikation, men det lyder skidt  =)

Ja men min query-strengen er ret komplex, og der er derfor ikke rigtigt muligt. Jeg tror dog ikke det kan blive noget seriøst skidt sådan som jeg har lænkt mig, efter som alle tegn fjernes inden det bliver sendt til MySQL efterspørgelsen.

Du kunne vel gøre sådan:
    $query = explode("&", $query);
    $query = implode("&amp;", $query);
    print "<a href='".$query."'>Link</a>";

Det er i hvetfald det simpleste, jeg lige umiddelbart kan komme i tanker om  =)

Jeg er bange for at jeg ikke kan slippe af sted med noget simpelt, i midt tilfælde. Kan du se om der er noget galt i dette.
if (isset($_GET['udvid']))
{
    if($_GET['udvid'] == "nej")
    {
    $url = "search=".$_GET['search']."&amp;bio=".$_GET['bio']."&amp;udvid=nej";
    }
    elseif($_GET['udvid'] == "ja")
    {
    $url = "search=".$_GET['search']."&amp;bio=".$_GET['bio']."&amp;udvid=ja&amp;Bruger=".$_GET['Bruger']."&amp;Oprindelse=".$_GET['Oprindelse'];
    }
}

Det valider nemlig rigtigt :D
Men findes der også noget der hedder PHP infektion

Det er i princippet godt nok, men om det er sikkert (nok), kan jeg intet sige om, da jeg ikke aner, hvordan og til hvad det skal bruges  =)

Her er hvordan det bliver brugt
echo '<a href="index.php?'.$url.'&amp;side=2">Link</a>';
Hvis du tænker på MySQL infektion så er jeg i gang med at læse om det. Men det er en jungle for en nybegynder. Så lige pt har jeg bare et script der fjerne de fleste tegn.

SQL-injection er kun én del af sikkerhedsovervejelserne, man bør gøre sig. Men hvad SQML-injection angår, så burde du absolut tjekke mysqli og prepared statements ud, hvis din server understøtter det:
    http://dk2.php.net/manual/en/book.mysqli.php

Begynd evt. med eksemplerne her:
    http://dk2.php.net/manual/en/mysqli-stmt.prepare.php

Det er idag den eneste rigtige måde at bruge MySQL på under PHP  ;o)

Eller PDO, Ole. Mais c'est la même chose.

Andreas: Glem alt om at sætte &amp; ind selv. Byg din querystring op med &-ere som du gerne vil have dem til at se ud. Og så når du skal skrive den i et HTML-dokument, så skal du som med alle andre strenge, i hvert fald dem, der indeholder HTML-giftige tegn, bruge funktionen htmlentities - eller tilsvarende. Intet mystisk i det, kun godt gammeldags håndværk. Dvs.

  $bum = "index.php?hej=sa&med=dig";
  print "<a href=\"" . htmlentities($bum). "\">Bum</a>";

Erik >> Jaja ... eller PDO, men jeg er jo til absolutterne!  ;D

hmmm, jeg kender ikke lige PHP slangsproget hvem er absolutterne.
Når men vil du (olobole) ligge et svar!

Det var bare en intern joke  =)

Det svarer lidt til at Ole er fundamentalist i forhold til det skrevne ord, fx hos w3c.  ;)

Nej, det er nu ikke lige dét, det svarer til  =)