Сообщение от seaman
Ну защиту от инъекций я сделал stripslashes и escape_string. Надеюсь этого достаточно. По prepare прочитал статейку, что она не очень хороша, увидел что писанины больше и решил не использовать. Сейчас смотрю - вроде действительно удобнее. Почитаю еще, может и перейду на такой способ.
Спасибо.
|
Эскейпинг это не панацея от всех бед!
Например код:
<?php
echo 'SELECT * FROM users WHERE id =' . mysql_real_escape_string($_GET['id']) . ';';
Передадим ему такую конструкцию:
Получится SQL запрос:
SELECT * FROM users WHERE id =1; DROP TABLE users;
И stripslashes и mysql_real_escape_string пролетели. И профукали нашу таблицу юзеров. Такие дела. А ещё после ";" можно много чего и повеселее написать.
Это на вскидку