- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
function mysql_prep($value)
{
if(get_magic_quotes_gpc()){
$value = stripslashes($value);
} else {
$value = addslashes($value);
}
return $value;
}
Нашли или выдавили из себя код, который нельзя назвать нормальным, на который без улыбки не взглянешь? Не торопитесь его удалять или рефакторить, — запостите его на говнокод.ру, посмеёмся вместе!
+161
function mysql_prep($value)
{
if(get_magic_quotes_gpc()){
$value = stripslashes($value);
} else {
$value = addslashes($value);
}
return $value;
}
"Heres a hassle free function to use to check your query string and before its handed to the db. It will add/remove slashes according to the get_magic_quotes_gpc state"
http://lt.php.net/manual/en/function.addslashes.php
telnet 02.07.2010 11:30 # +6
zantor 02.07.2010 11:39 # 0
Анонимус 02.07.2010 15:10 # 0
господи, спасибо тебе за CallableStatement, например
Cyanide 03.07.2010 17:45 # 0
Lure Of Chaos 03.07.2010 18:56 # 0
к слову, одно только addslashes не защитит надежно от иньекций. Гораздо надежнее mysql_real_escape_string, но и это даже не 100% защита.
Cyanide 03.07.2010 19:17 # 0
Lure Of Chaos 03.07.2010 19:41 # 0
Vasiliy 06.07.2010 21:01 # 0
Cyanide 06.07.2010 23:58 # 0
mysql_query('SELECT * FROM table WHERE id=' . mysql_real_escape_string($_GET['id']));
Вроде бы всё хорошо, но кавычек нет, поэтому их не надо закрывать, чтобы сделать иньекцию. А извратиться без кавычек очень даже можно.
А вообще, немного тупой пример, ибо id - это число, надо делать intval.
Lure Of Chaos 07.07.2010 00:51 # 0
Cyanide 07.07.2010 22:38 # 0
Lure Of Chaos 07.07.2010 22:44 # 0