Вопрос по безопасности: как проверять значения из форм? (SQL-инъекции)

[lantastic]

Вопрос по безопасности: как проверять значения из форм? (SQL-инъекции)

У меня в форме вводится значение "user". Затем идет запрос в MySQL вида:

select * from user='$user'

Скажите пожалуйста, как проверить значение user перед запросом, чтобы избежать SQL-инъекций? Какие функции применить к переменной user?

 

[Стас]

htmlspecialchars

 

[lantastic]

Я сделаю trim, а потом htmlspecialchars ... этого достаточно будет? Точно?

 

[rotoZOOM]

Стас не то.

lantastic \"Кавычки \". Cоставление запросов mysql, слеши, экранирование кавычек.

 

[neko]

> Скажите пожалуйста, как проверить значение user перед
> запросом, чтобы избежать SQL-инъекций?

для этого надо прежде всего ответить для себя на вопрос: как работают эти самые ниъекции...

 

[lantastic]

magic_quotes_gpc у меня включены. Получается, для полей из форм не надо делать addslashes, а для внутренних же данных, порожденных в самом скрипте, надо?

 

[SiMM]

Легче не морочить себе голову и выключать magic_quotes_gpc. Не настройками, так скриптом (strips). Тогда думать о том, откуда же у тебя данные, не придётся - будешь пользоваться mysql_real_escape_string при формировании любого запроса.

 

[lantastic]

А вообще на двух хостингах где я был, magic_quotes_gpc включены. Я поэтому и решил, что это общепринятая распространенная практика. Так что ли выключать теперь в скрипте?

 

[fixxxer]

lantastic

по ссылке, которую дал rotoZOOM, всё написано