| |
|
|
| | у меня есть скрипт который выводит названия статей и ссылку на нее,
допустим :
[code]<a href = "coment?article=$1>$name</a>"[code]
где $1 - id элемента в БД
$name - название статьи
как мне следует фильтровать $1, когда передается id, от SQL - инъекции | |
| |
|
|
| |
|
|
| |
для: iMozgoloMchik
(27.01.2012 в 13:04)
| | | Элемент id имеет тип INT? Если да, то перед формированием запроса достаточно пропустить его через функцию intval().
<?php
$_GET['article'] = intval($_GET['article']);
?>
|
| |
| |
|
|
| |
|
|
| |
для: cheops
(27.01.2012 в 13:25)
| | | а если мне потом придется еще использовать строку?
то как быть? | |
| |
|
|
| |
|
|
| |
для: iMozgoloMchik
(27.01.2012 в 13:30)
| | | Какая строка имеется в виду? | |
| |
|
|
| |
|
|
| |
для: cheops
(27.01.2012 в 13:30)
| | |
<a href = 'coment?article=strstrstrstr>strstrstr</a>'
|
что то вроде этого
strstrstr это название чего либо, таблицы или условие WHERE | |
| |
|
|
| |
|
|
| |
для: iMozgoloMchik
(27.01.2012 в 13:37)
| | | Правильно ли я понимаю, что у вас "$1 - id элемента в БД" это не целое число, а строка? | |
| |
|
|
| |
|
|
| |
для: cheops
(27.01.2012 в 13:53)
| | | да, с числом то понятно , а вот второй случай : когда вместо чиста строчный тип данных, например названия Таблицы в БД,
вот что я имею ввиду | |
| |
|
|
| |
|
|
| |
для: iMozgoloMchik
(27.01.2012 в 16:21)
| | | mysq_real_escape_string() | |
| |
|
|
| |
|
|
| |
для: iMozgoloMchik
(27.01.2012 в 16:21)
| | | Если включен режим магических кавычек, можно не беспокоиться, если не включен, следует использовать функцию mysq_real_escape_string(), как указал выше tAleks. | |
| |
|
|
|
