Тема: Не вставляются данные в MySQL
Показать сообщение отдельно
Старый 27.04.2013, 00:43   #10
Randomize
[object Object]
 
Аватар для Randomize
 
Регистрация: 01.08.2008
Адрес: В России
Сообщений: 4,355
Написано 2,471 полезных сообщений
(для 6,853 пользователей)
Игровой проект: Создал(а) один игровой проект в рамках форума boolean.name 
Всего наград 1
Ответ: Не вставляются данные в MySQL
Сообщение от seaman Посмотреть сообщение
Ну защиту от инъекций я сделал stripslashes и escape_string. Надеюсь этого достаточно. По prepare прочитал статейку, что она не очень хороша, увидел что писанины больше и решил не использовать. Сейчас смотрю - вроде действительно удобнее. Почитаю еще, может и перейду на такой способ.
Спасибо.
Эскейпинг это не панацея от всех бед!

Например код:
<?php
echo 'SELECT * FROM users WHERE id =' mysql_real_escape_string($_GET['id']) . ';';
Передадим ему такую конструкцию:
?id=1; DROP TABLE users
Получится SQL запрос:
SELECT * FROM users WHERE id =1; DROP TABLE users;
И stripslashes и mysql_real_escape_string пролетели. И профукали нашу таблицу юзеров. Такие дела. А ещё после ";" можно много чего и повеселее написать.

Это на вскидку
__________________
Retry, Abort, Ignore? █
Intel Core i7-9700 4.70 Ghz; 64Gb; Nvidia RTX 3070
AMD Ryzen 7 3800X 4.3Ghz; 64Gb; Nvidia 1070Ti
AMD Ryzen 7 1700X 3.4Ghz; 8Gb; AMD RX 570
AMD Athlon II 2.6Ghz; 8Gb; Nvidia GTX 750 Ti
(Offline)
 
 Ответить с цитированием
Эти 4 пользователя(ей) сказали Спасибо Randomize за это полезное сообщение:
moka (27.04.2013), pax (27.04.2013), Reizel (29.04.2013), seaman (27.04.2013)