Безопасность скрипта

[Terabyte]

Безопасность скрипта

 

[lucas]

1.

мне посоветовал строку
$query=mysql_query("select text FROM $table where name_file='$go'");
Заменить на
$query="select text FROM $table where name_file='".$go."'";

Такая замена ничего не меняет.

2. mysql_escape_string() -- http://ru3.php.net/manual/ru/function.mysql-escape-string.php

 

[Terabyte]

1) Правдо? Ну ладно =)

2) Типа так сделать надо:
$go=mysql_escape_string($go);

А могбы ты объяснить что эта функция делает, а то у меня с инглишом плохо. =)

 

[fixxxer]

http://phpclub.net/manrus/mysql_escape_string

 

[Terabyte]

Хм.. А что значит "мнемонизирует/Escape строку для использования в mysql_query"?

 

[BoFFiN]

А quotemeta тут не помощник?

 

[lucas]

А что значит "мнемонизирует/Escape строку

Это значит, что перед символами, которые могут вызвать проблемы в SQL-запросе, ставятся escape-символы -- обратные слеши.

Пример: ' --> \'.

 

[Terabyte]

lucas
Ну я так понимаю она делает все тоже самое что и addslashes() ?

Короче если я заюзаю такой код:
$go=mysql_escape_string($go);
или
$go=addslashes($go);

То хрен что мне сделают, да? =)

 

[lucas]

Юзай mysql_escape_string() и будет тебе счастье.

 

[Terabyte]

lucas
А почему не addslashes ? =) Ведь как я понял это одно и тоже =)

 

[Terabyte]

BoFFiN
А что она делает?

 

[Crazy]

Автор оригинала: Terabyte
lucas
А почему не addslashes ? =) Ведь как я понял это одно и тоже =)

Потому, что одно и то же это только в ТЕКУЩЕЙ версии MySQL. Если в MySQL в будущих версиях изменятся правила, то будет изменена и функция mysql_escape_string, тогда как addslashes останется без изменений. Несмотря на низкую вероятность этого события нужно стараться всегда писать правильно, а не тоолько тогда, когда это немедленно приводит к катастрофе.

 

[Terabyte]

Ок