Меню
Что нового?

mysql_real_escape_string

bobo

Новичок
mysql_real_escape_string

Добрый вечер.
Безопасности ради как и полагается использую mysql_real_escape_string.
Если быть до конца конкретным выглядит это так:
PHP: 
$aecltype = mysql_real_escape_string(trim($_POST['cltype']));
и т.д. много раз.
Если форма обрабатывает закавыченное значение оно есессно в БД пишется как \"<значение>\".
Дурацкий вопрос - как убирать слэши в дальнейшем при чтении его из БД ?
 
zerkms

zerkms

TDD infected
Команда форума
Если форма обрабатывает закавыченное значение оно есессно в БД пишется как \"<значение>\".
Нажмите для раскрытия...
ничего естественного в этом нет. если в базе появились вторые кавычки значит одно из двух:
1. ты сам закавычил дважды
2. включены магические кавычки

пункт 2 более вероятен.
 

bobo

Новичок
ЭЭм, видимо вы меня неправильно поняли, рассказываю:
есть форма, грубо говоря input и submit.
Пишем в инпут (дословно) ООО "Рога и копыта", нажимаем кнопку, данные уходят. Мы их принимаем: $aecltype = mysql_real_escape_string(trim($_POST['cltype'])); и пишем в БД. И вот теперь, если заглянуть в таблицу, наше ООО "Рога и копыта" будет выглядеть как ООО \"Рога и копыта\"
Надеюсь, что понятно обьяснил :)
 
Фанат

Фанат

oncle terrible
Команда форума
Безопасности ради полагается использовать mysql_real_escape_string не для всего подряд, а только для значений, заключаемых в запросе в кавычки
поскольку для остальных это бесполезно.
 

bobo

Новичок
фанат, т.е. в вышепреведенном примере нет смысла использовать эту функцию ?
флоппик, zerkms, дважды я не закавычивал, что такое магические кавычки ?
 

bobo

Новичок
Нет, имею в виду, что тем же способом обрабатываю другие переменные :)
 
Фанат

Фанат

oncle terrible
Команда форума
в вышепреведенном примере нет смысла использовать эту функцию ?
Нажмите для раскрытия...
никакого примера я не вижу.
но если в запросе подставляемые значения не заключаются в кавычки, то да, смысла нет.
 
Войдите или зарегистрируйтесь для ответа.
Сверху