Поиск по базе

[Мутник]

Поиск по базе

Нужно сделать поиск по БД.

Кто то может подсказать, что нужно учитывать, чтобы первый же попавшийся кул_хацкер не сломал чего то, написав "умный" запрос в поле для ввода. Чего можно, а чего нельзя запрашивать у MySQL'a. Заранее благодарен.

 

[b0ld]

Если включена дирректива magic_quotes_gpc, то запрос не сломают... Если нет, то addslashes().

 

[fixxxer]

http://phpfaq.ru/slashes

 

[Мутник]

Ну а что то кроме кавычек? Не уж то только в них дело?

если я потом делаю
$s = explode(" ", $str);

SELECT * FROM table WHERE content LIKE '%".$s[0]."%' and content LIKE '%".$s[1]."%'

и т.д...

чтобы мне БД всю не вывернули и не нагадили там

 

[b0ld]

Originally posted by Мутник
Ну а что то кроме кавычек? Не уж то только в них дело?

если я потом делаю
$s = explode(" ", $str);

SELECT * FROM table WHERE content LIKE '%".$s[0]."%' and content LIKE '%".$s[1]."%'

и т.д...

чтобы мне БД всю не вывернули и не нагадили там

Не вывернут, не бойся. Итак все OK...