Главная страницаСоздание сайтовБлог Кузнецова М.В.Статьи о PHPPHP-скриптыСтатьи об ApacheФорум С++КонсультацииФорум "Про Жизнь"
Форум: Форум PHPФорум ApacheФорум Регулярные ВыраженияФорум MySQLHTML+CSS+JavaScriptФорум FlashРазное
Новые темы: 0000000
MySQL 5. В подлиннике. Авторы: Кузнецов М.В., Симдянов И.В. Объектно-ориентированное программирование на PHP. Авторы: Кузнецов М.В., Симдянов И.В. PHP 5/6. В подлиннике. Авторы: Кузнецов М.В., Симдянов И.В. Самоучитель MySQL 5. Авторы: Кузнецов М.В., Симдянов И.В. Социальная инженерия и социальные хакеры. Авторы: Кузнецов М.В., Симдянов И.В.
ВСЕ НАШИ КНИГИ 		Консультационный центр SoftTime

Форум MySQL
Вход  Регистрация  Список форумов  Живой форум  Архив  RSS-канал  Правила форума  Участники "Online"  Все участники

Выбрать другой форум

 

Здравствуйте, Посетитель!

 Новая тема

 Поиск

  Список тем

вид форума:
Линейный форум Структурный форум

тема: mysql_escape_string

следующая тема
 
 автор: Specter   (09.06.2007 в 20:45)   письмо автору
  
 

Когла в гостевой добавляются сообщения я пропускаю их через эту функцию.
Надо ли как-то еще обрабатывать текст, чтобы не смогли сделать SQL-инъекцию?

   
 
 автор: Trianon   (09.06.2007 в 20:54)   письмо автору
  
   для: Specter   (09.06.2007 в 20:45)
 

если сразу после mysql_escape_string() полученная строка окружается апострофами - через нее инъекцию уже не протащить.
Через другие параметры - если они попадают в строку - вполне. О них нужно будет заботиться отдельно.

   
 
 автор: Specter   (09.06.2007 в 21:00)   письмо автору
  
   для: Trianon   (09.06.2007 в 20:54)
 

<?
$text "fdhhsah'erh`thy\aeya\"\n"
$text mysql_escape_string($text); 
mysql_query("INSERT INTO mess VALUES(0, '".$text."')"); 
?> 

В таком случае будет инъекция?

   
 
 автор: Trianon   (09.06.2007 в 21:16)   письмо автору
  
   для: Specter   (09.06.2007 в 21:00)
 

нет.

   
Rambler's Top100
вверх

Rambler's Top100 Яндекс.Метрика Яндекс цитирования