| |
|
|
| | Как это понять?
Функция mysql_escape_string — Экранирует SQL спец-символы для mysql_query.
Функция экранирует все спец-символы в unescaped_string, вследствие чего, её можно безопасно использовать в mysql_query(). А если не пользоваться этой функцией какая угроза может возникнуть?
Что такое unescaped_string? | |
| |
|
|
| |
|
|
| |
для: Neznajka
(16.06.2009 в 18:28)
| | | Самая мелочь - узнать все пароли пользователей, или удалить всю базу данных.
Повторяю - это самая мелочь из того, что может случиться;) | |
| |
|
|
| |
|
|
| |
для: Akdmeh
(17.06.2009 в 10:57)
| | | >Самая мелочь - узнать все пароли пользователей, или удалить всю базу данных.
А что тогда самое серьезное? Взрыв вселенной?
Нужно просто экранировать все кавычки перед добавление записей в БД и все :) | |
| |
|
|
| |
|
|
| |
для: Петр
(17.06.2009 в 12:11)
| | | А чем страшны кавычки? | |
| |
|
|
| |
|
|
| |
для: Neznajka
(16.06.2009 в 18:28)
| | | если не воспользоваться этой функцией (или аналогичным по действию средством) , то нельзя [произвольные] строки в кавычки заключать. Без потери лексической корректности такой строки.
SQL тут вобщем-то вторичен. Просто ситуация чаще всего встречается именно в нем. | |
| |
|
|
| |
|
|
| |
для: Trianon
(17.06.2009 в 19:03)
| | | Я бы сказал что ситуация чаще встречается в html, просто там не несет таких фатальных последствий, а потому не вызывает такого мистического ужаса:) | |
| |
|
|
| |
|
|
| |
для: Loki
(18.06.2009 в 09:27)
| | | верно... с точностью до оценки фатальности последствий :)) | |
| |
|
|
