-
Юбилейный DevConfX пройдет 21-22 июня в Москве. Как всегда — Вы решаете, кто попадет в программу секции Backend — голосуйте за интересные доклады
magic_quotes
- Автор темы Mr_Max
- Дата начала
$msg = strip_tags($msg_);
$sql="INSERT INTO forum VALUES (null, '$date', '$msg)";
mysql_query($sql);
я так понимаю, что если я наберу """"
должны добавиться слеши \"\"\"\"
и всё єто должно добаиться в базу
правильно я понимаю?
или я что-то не так делаю, или что-то не допонял
в базу добавляется """"
$sql="INSERT INTO forum VALUES (null, '$date', '$msg)";
mysql_query($sql);
я так понимаю, что если я наберу """"
должны добавиться слеши \"\"\"\"
и всё єто должно добаиться в базу
правильно я понимаю?
или я что-то не так делаю, или что-то не допонял
в базу добавляется """"
RomikChef
Guest
в базу все добавляется правильно. в базу данные добавляются как есть, не меняя ни одного байта.
слеши нужны только в запросе.
чтобы увидеть, есть ли слеши - выведи на экран запрос
слеши нужны только в запросе.
чтобы увидеть, есть ли слеши - выведи на экран запрос
RomikChef
Guest
а в чем она состояла, по-твоему? 
))
))lunizz
Guest
имХо, наверно тут дело не в защите, а в обычной интерполяции данных.
Стоит ли ее включать глобально, если есть foo addslashes() ?
RomikChef
Guest
lunizz, а что такое "инерполяция данных"?
стоит ли чключать ее глобально - это личное дело каждого.
А дело, конечно же, именно в защите. и от ошибок и от взлома.
все просто, как 5 копеек. если в запросе есть одинарная кавычка, то, естественно, интерпретатор запроса сочтет, что это закрывающая кавычка переменной и дальше идут команды SQL
delete from table where id='$id'
$id="1' or id <>'1";
получаем
delete from table where id='1' or id <>'1'
это, конечно, гипотетический пример, потому, что если человек может удалить одно сообщение то сможет руками удалить и остальные, не модифицируя запрос.
стоит ли чключать ее глобально - это личное дело каждого.
А дело, конечно же, именно в защите. и от ошибок и от взлома.
все просто, как 5 копеек. если в запросе есть одинарная кавычка, то, естественно, интерпретатор запроса сочтет, что это закрывающая кавычка переменной и дальше идут команды SQL
delete from table where id='$id'
$id="1' or id <>'1";
получаем
delete from table where id='1' or id <>'1'
это, конечно, гипотетический пример, потому, что если человек может удалить одно сообщение то сможет руками удалить и остальные, не модифицируя запрос.
lunizz
Guest
Да, ты прав.. что-то есть такое.
Те можно в запросе дописать к примеру
tratata.php?id=1 -> tratata.php?id="1
и последствия трудно предугадать.. это имелось ввиду?
А что такое инерполяция данных - hz
Те можно в запросе дописать к примеру
tratata.php?id=1 -> tratata.php?id="1
и последствия трудно предугадать.. это имелось ввиду?
А что такое инерполяция данных - hz