Меню
Что нового?

«magic quotes welcome back» RFC

ksnk

прохожий
PHP: 
mysqli_query("SELECT * from USER where ID=" . mysqli_escape_query($_GET["userid"]))
Весь сыр-бор из за такого.
magic-quotes в этом случае бессилен :rolleyes:
 
флоппик

флоппик

promotor fidei
Команда форума
Партнер клуба
@ksnk ну ты же понимаешь, что единственное решение, решающее озвученную проблему это иметь только одно поддерживаемое расширение для формирования запросов к бд, которое не даст передавать туда плейн-текст SQL.Все остальное по определению будет костылями, примерно на уровне подхода с magic quotes.
 
fixxxer

fixxxer

К.О.
Партнер клуба
Какие-то несуществующие в 2015-м проблемы пытаются решить.
В старом коде либо сто раз уже все залатали, либо всем пофиг.
А в 2015 году никто в здравом уме не собирает запрос руками.
 

Вурдалак

Продвинутый новичок
Ой, да ладно, это никогда не пройдёт.

Такое имеет смысл в каких-нибудь статических анализаторах специально для legacy-кода (Ferrara даже что-то показывал на днях), но к языку это не имеет никакого отношения.
 
Фанат

Фанат

oncle terrible
Команда форума
Спасибо, флопиик.
Кто подскажет, где это обсуждают?
 
Фанат

Фанат

oncle terrible
Команда форума
В общем, очередной идиот, который не понимает смысла функций искейпинга, решил осчастливить человечество, путем добавления кучи варнингов в легаси код.
 
Фанат

Фанат

oncle terrible
Команда форума
не, я нашел уже, в интерналс есть тред.
я, правда, не нашел как там читать по порядку и не разобрался толком, но судя по всему, аффтара не закидали тухлыми помидорами сразу, а степенно обсуждают
 
Vladson

Vladson

Сильнобухер
"Automatic SQL Injection Protection"
Название внушает, видимо это что-то крутое, надо в прайс лист включить, как думаете $200 брать за использование этой новой технологии, или мало ?
 
Войдите или зарегистрируйтесь для ответа.
Сверху