|
| |
|
|
| |
для: Василий
(05.01.2012 в 21:15)
| | | всё надо к месту проверять/экранировть/всячески обрабатывать
если у Вас данные из массива get не идут в базу, то и не надо их обрабатывать mysql_real_escape_string()
если Вы получаете в get данные от пользователя и хотите вывести их на странице, то возможно будет достаточно обработать функцией htmlspecialchars() если это строки и intval() если это число
<?php
// для вывода в браузер, это касается и данных из БД, которые вносил туда пользователь
$title = isset($_GET['title']) ? htmlspecialchars($_GET['title']) : null;
// для записи в БД
$title = isset($_POST['title']) ? mysq_real_escape_string($_POST['title']) : null; // или то значение, которое по умолчанию назначено полю в БД
// хотя я делаю обработку прямо в запросе к БД,
$query = sprintf("INSERT INTO `table` (`title`) VALUES('%s')", mysql_real_escape_string($title));
|
| |
| |
|
|
| |
|
|
| |
для: cheops
(05.01.2012 в 20:51)
| | | если мы
первая проверка:
if (isset($_POST['title'])) {$title = $_POST['title']; if ($title == '') {unset ($title);} }
if (isset($_POST['id_pu'])) {$id_pu = $_POST['id_pu']; if ($id_pu == '') {unset ($id_pu);}}
|
вторая проверка:
$_GET['id_pu'] = intval($_GET['id_pu']);
$_GET['title'] = mysql_escape_string($_GET['title']);
|
потом заносим в БД
$result = mysql_query ("insert pu SET title='$title', id_pu=" . mysql_real_escape_string($id_pu) . "
|
то не пойму для чего вторая проверка? $_GET['id_pu'], $_GET['title'] никак не используется при внесении в базу | |
| |
|
|
| |
|
|
| |
для: Василий
(05.01.2012 в 20:48)
| | | В общем да... только false - это преобразуется в пустую строку, может быть не удобно следить. Немного выше приведена конструкция типичного использования этой функции
<?php
if (!get_magic_quotes_gpc())
{
$_GET['text'] = mysql_escape_string($_GET['text']);
}
?>
|
Расшифровывается это так - если режим отключен - осуществляем экранирование, если включен - ничего не делаем. | |
| |
|
|
| |
|
|
| |
для: cheops
(05.01.2012 в 20:38)
| | | вот достаточно будет узнать?
<?php
echo get_magic_quotes_gpc(); ?>
|
| |
| |
|
|
| |
|
|
| |
для: Василий
(05.01.2012 в 20:35)
| | | mysql_escape_string() экранирует кавычки, после того, как вы пропустите целочисленное значение через функцию intval() там останутся только цифры - нечего экранировать... можете пропустить и их через mysql_escape_string() для единообразия, но это лишняя работа. | |
| |
|
|
| |
|
|
| |
для: Василий
(05.01.2012 в 20:34)
| | | >как узнать включен ли режим "магических кавычек" на сервере?
Для этого используется функция get_magic_quotes_gpc() - она возвращает true, если режим включен, и false в противном случае. | |
| |
|
|
| |
|
|
| |
для: Василий
(05.01.2012 в 20:34)
| | | почему Вы не предложили целочисленные значения пропускать через функцию mysql_escape_string? | |
| |
|
|
| |
|
|
| |
для: cheops
(05.01.2012 в 20:27)
| | | как узнать включен ли режим "магических кавычек" на сервере? | |
| |
|
|
| |
|
|
| |
для: Василий
(05.01.2012 в 20:24)
| | | Если режим "магических кавычек" на сервере отключен, а код не будет использоваться на других серверах, где он может быть включен, да, правильно. | |
| |
|
|
| |
|
|
| |
для: cheops
(05.01.2012 в 20:10)
| | | ТОгда так
первая проверка:
if (isset($_POST['title'])) {$title = $_POST['title']; if ($title == '') {unset ($title);} }
if (isset($_POST['id_pu'])) {$id_pu = $_POST['id_pu']; if ($id_pu == '') {unset ($id_pu);}}
|
вторая проверка:
$_GET['id_pu'] = intval($_GET['id_pu']);
$_GET['title'] = mysql_escape_string($_GET['title']);
|
потом заносим в БД
$result = mysql_query ("insert pu SET title='$title', id_pu=" . mysql_real_escape_string($id_pu) . "
|
Правильно? | |
| |
|
|
|
