как НЕ надо делать

[tony2001]

как НЕ надо делать

http://www.google.com/codesearch?hl=en&lr=&q=Where+\$_POST+-addslashes+lang:php

 

[Romantik]

прикольно
особенно когда встречаешь подобное в популярных проектах
xoops
punbb
etc

 

[Gorynych]

вот так рождаюся мифы об SQL-инъекциях и не только о них...

 

[Кром]

Ну, то что _POST встречается в sql запросе, это еще не значит, что он не был предварительно обработан.

 

[Igor aka TiGR]

Если учесть, что пока что в индексе около полумиллиона файлов, то результат вот этого запроса в 54 тысячи файлов (10%) как-то настораживает...

Ну, то что _POST встречается в sql запросе, это еще не значит, что он не был предварительно обработан.

Проверил один из первых попавшихся результатов. Ничего там не обрабатывается - sql-инъекция вполне возможна.

Короче, классный инструмент создали в гугле! Молодцы!

 

[Wicked]

Автор оригинала: Кром
Ну, то что _POST встречается в sql запросе, это еще не значит, что он не был предварительно обработан.

Ага... magic quotes-ами

 

[zarus]

Я тоже вставляю _POST в sql-запрос. Правда, дааные у меня сначала проходят валидацию с жесткой привязкой к типу и значениями по умолчанию, а сам запрос - с плейсхолдерами.

Зато первые запросы были... Не все же сразу рождаются умными. Кому-то приходится и на грабли наступать.

 

[antivir]

Автор оригинала: Кром
Ну, то что _POST встречается в sql запросе, это еще не значит, что он не был предварительно обработан.

+1