Autor Zpráva
inj
Profil *
Prostudoval jsem manuály a prý stačí protlačit parametr v sql dotazu fcí mysqli_real_escape_string a mělo by to být bezpečné. Zjistil jsem ale, že tato funkce nenahrazuje znak `. Jak tedy na spolehlivou ochranu dotazu sql a na co si dát ještě pozor.
Joker
Profil
inj:
Zjistil jsem ale, že tato funkce nenahrazuje znak `
A čemu to vadí?
Kajman_
Profil *
Ta funkce escapuje string. Ten je potřeba obalit ', pak je to bezpečné použití stringu. Pokud chcete vkládat do sql něco jiného - názvy sloupců atd., není tato funkce na to určená.
wutter
Profil *
Můžeš zkusit htmlspecialchars(); a znaky ' a " odstranit pomocí strtr($text, array('\'' => '', '\"' => '')); a text zapistovat do databáze v htmlspecialcharts
Alphard
Profil
wutter:
Můžeš zkusit htmlspecialchars();
Což je ale na něco jiného.
Escapování - definitivní příručka

Vaše odpověď

Mohlo by se hodit


Prosím používejte diakritiku a interpunkci.

Ochrana proti spamu. Napište prosím číslo dvě-sta čtyřicet-sedm: