ValekS (04.05.2013 / 09:11)
mysql_real_escape_string -- Экранирует специальные символы в строке, используемой в SQL-запросе, принмимая во внимание кодировку соединения.
Тоесть если у тебя такой текст "aaa'aaa" она вернёт тебе
Директива magic_quotes_gpc для кого??? =_="
В джоне ещё есть функция checkout(), она, наверное, для вывода данных используется (?)
Если фильтровать всех данных которые записываеться .. Тогда дыр не будет да ?
в разделе безопасности много полезной инфы по данному вопросу... почему бы там не почитать?
Еще можно подключить логику и попытаться понять что такое "угроза безопасности", тогда и вопросы отпадут
инферно (04.05.2013 / 10:52)
Если фильтровать всех данных которые записываеться .. Тогда дыр не будет да ?
Иногда и баги могут вызвать уязвимость!
valik619 (04.05.2013 / 08:58)
Главное не забывать перед добавлением в базу сделать фильтр функциями check (chekin) + mysql_real_escape_string юзай, и при выводе htmlspecialchars (вроде так) можно добавить, ну это я так делаю но н
mysql_real_escape_string ? наверное эта функция используется в запросах бд? ) ну и используется, если подключение к бд собственно есть.
Kpegumop, помоему не обязательно подключение для вызова, вот в mysqli обязательно