mysql_real_escape_string() всегда должен быть для корректного формирования строки в SQL-запросе, с безопасностью это никак не связано.

Сам паттерн LIKE'а тоже содержит спец. символы: "%", "_", "\"  Но не имеет смысла их экранировать в данной ситуации, поскольку тогда пропадает смысл LIKE. Или используй просто "=".

Добавлено через 2 минуты и 52 секунды
Хотя иногда делают так:


Это сообщение отредактировал(а) Pitlord - 27.11.2009, 18:27

да, такие символы нужны



честно говоря, это "иногда" убивает. 

вопрос же простой, если приходящую строку, которую впоследствии подставлю после LIKE, буду обрабатывать только mysql_real_escape_string(), этого хватит, чтобы пользователь не набедокурил?
/подставляться будет только в запросе select/

в смысле, чтобы он не вырвался за пределы запроса и не добавил какое-нибудь drop ... и т.п.

в документации что-то написано про енту замену слэшей. касательно моего вопроса я могу сделать вывод только, что всё будет в порядке.
из ваших постов после Скайбоя не понятно. то ли делай двойной mysql_real_escape_string, то ли не делай

истина где-то рядом, но к какой подошве она у меня прилипла?

Слабо в мануал по MySQL глянуть, а не PHP (хотя и туда ты тоже не особо захаживаешь похоже)? 


Налицо отсутствие понимания того, что ты делаешь такими функциями, как mysql_real_escape_string, htmlspecialchars, urlencode и пр.


Если кратко, то если бекслеш не экранировать, то это позволит пользователю искать символы "%" и "_". Если экранировать — они будут фигурировать только в качестве спец. символов LIKE и не более.

Это сообщение отредактировал(а) Pitlord - 27.11.2009, 18:55

мне кажется, это заблуждение.

Тебе что-то кажется, а я просто знаю.

Добавлено через 1 минуту и 3 секунды
Хотите разговаривать по сути — приводите примеры. У вас же просто танцы с бубном вокруг темы экранирования символов. "Надо или не надо экранировать?"

Насколько я вижу в документации, там ничего не написано про символы "%" и "_" в связи с рекомендацией экранировать слеш

по этому поводу уже говорил выше


спасибо, за замечание



ну, и страшно, что они будут искать эти самые символы?



пример? что угодно. я не знаю, на какую комбинацию пробьёт пользователя

В какой документации? Экранировать для чего — интерпретации строки в SQL-запросе, интерпретации паттерна LIKE?


Это ты себе вопрос задай, я тебе просто сказал что будет если экранировать и что — если нет.


Я не тебе в данном случае говорил. Тебе просто курить мануал:
http://dev.mysql.com/doc/refman/5.0/en/str...l#operator_like
http://dev.mysql.com/doc/refman/5.0/en/string-syntax.html

По ссылке написано про экранирование "%" и "_"
А я говорил про экранирование "\".
Которое никак с первым не связано

Попробуй с помощью LIKE, без использования "%" и "_" в качестве спец. символов, найти строку с записью "\%".

и то и другое надо экранировать, но слеш - дважды.

зачем просто говорить, если можно просто ответить?



не курю. мануалы я читаю. 
прочитал, ничего нового не узнал. и всё равно, совершенно не догоняю, что после поста Скайбоя вы мне пытаетесь втолковать. по ссылкам написано, что никакая последовательность символов не может выйти за пределы строки, если она была преобразована с помощью mysql_real_escape_string().

Ну вот, теперь правильно.

По-хорошему, должно быть так:


Но будет работать и так:

...., но это запутывает.

Проверить, что мы не соврали можно, заменив "%" на "_":


Добавлено через 1 минуту и 55 секунд
bars80080, короче, с безопасностью это никак не связано. Применил mysql_real_escape_string() — будет синтаксически корректная строка, ошибок не будет. "Вылезти" куда-то там нельзя.

а я ничего другого и не говорил.
но слеш надо экранировать дважды не поэтому. если мы ищем его одного, без %, то все равно дважды 

Это сообщение отредактировал(а) Ипатьев - 27.11.2009, 20:48

Я что, говорю что-то противоположное?