Форум PHP

Понятно, спасибо. В общем, нет в мире ничего волшебного=)

Вовсе нет, она лишь дополняет htmlspecialchars, ни stripslashes и т.п. Но если эти функции обычно применяются перед выводом в окно браузера из базы данных, то mysql_escape_string() применяется перед занесением в базу данных.

То есть mysql_escape_string - это такая прямо-таки волшебная функция? И не надо ни htmlspecialchars, ни stripslashes, вообще больше ничего?

Функция get_magic_quotes_gpc() проверяет влючены ли на сервере магические кавычки - если они включены, то использование функции mysql_escape_string() лишнее, так как сервер самостоятельно будет обрабатывать каждую строку. Функция mysql_escape_string() экранирует специальные символы, т.е. текст

I don't know...

эта функция превратит в

I don\'t know...

а с экранированными кавычками SQL-инъекцию практически невозможно провернуть.

get_magic_quotes_gpc - получает текущую активную установку конфигурации "магических" кавычек gpc. (Цитата из справочника ) - а что есть магические кавычки?

string mysql_escape_string (string unescaped_string)
Эта функция мнемонизирует строку unescaped_string, чтобы её можно было передать функции mysql_query().

Уважаемы cheops, объясните что делает функция

(!get_magic_quotes_gpc())

Ну и mysql_escape_string если не сложно в кратце опишите. Спасибо.

Обработайте информацию при помощи специально созданной по этому поводу функции mysql_escape_string()

<?php   if (!get_magic_quotes_gpc())   {     $text = mysql_escape_string($text);   } ?>

Не уверен, что это панацея, но это отобъёт желание ломать ваш сайт через SQL-инъекции у любого здравомыслящего злоумышленика.

Я тут начитался статей про взломы, SQL-иньекции и всякую дребедень, что теперь босюсь вообще инфы из вне, подскажите плз, чем надо обработать большой текст полученный из вне, чтобы спокойно его можно было добавить в базу?
Примечание: Профи извините за ламерство... Просто мне страшно уже от каждого килобайта инфы из вне :(