1. PHP / Говнокод #6287

    +162

    1. 1
    2. 2
    3. 3
    4. 4
    $val = $_POST["value"];
    $val = str_replace("e", "e", $val);
    $val = str_replace("E", "E", $val);
    mysql_query("insert into `table` (`value`) values '$val'");

    Это мы так спасаемся от mysql-инъекций.

    Запостил: ling, 08 Апреля 2011

    Комментарии (5) RSS

    • блжад, скобочки забыл: insert into `table` (`value`) values ('$val')
      Ответить
    • посылаю курлом:
      1'); TRUNCATE TABLE 'table
      Ответить
      • Через mysql_query() пролазит только одна SQL-команда. С PostgreSQL бы прокатило.
        Ответить

    Добавить комментарий