VPF::Вопрос параноика - Форум программистов

Wolf1994

Дата 29.8.2005, 03:43 (ссылка)

(нет голосов)

Загрузка ...

Эксперт

Профиль
Группа: Завсегдатай
Сообщений: 1701
Регистрация: 5.10.2004

Репутация: 7
Всего: 29

Надо ли делать эскэйп при операциях выборки из базы. То есть, например:

Код


$sql = "SELECT * FROM $table_name_top WHERE email='$email'";

Надо ли эскэйпить $email?

Mont

Дата 29.8.2005, 06:57 (ссылка)

(нет голосов)

Загрузка ...

Опытный

Профиль
Группа: Vingrad developer
Сообщений: 274
Регистрация: 13.11.2004
Где: Altay

Репутация: 8
Всего: 12

надо, обязательно.

--------------------

"Если однажды Вдруг
Меня не окажется вовсе
в заповедной заветной тарелке
Твоего праведного сновидения
Знай - Неуловимые мстители настигли меня."
© Егор Летов

Mal Hack

Дата 29.8.2005, 13:04 (ссылка)

(нет голосов)

Загрузка ...

Мудрый...

Профиль
Группа: Участник Клуба
Сообщений: 9926
Регистрация: 15.2.2004

Репутация: 122
Всего: 261

http://php.net/mysql_real_escape_string

Wolf1994

Дата 29.8.2005, 15:57 (ссылка)

(нет голосов)

Загрузка ...

Эксперт

Профиль
Группа: Завсегдатай
Сообщений: 1701
Регистрация: 5.10.2004

Репутация: 7
Всего: 29

Не совсем уловил разницу между эскэйпом и реальным эскэйпом. Значит ли это, что следует всегда пользоваться реальным эскэйпом?

Рыжий

Дата 29.8.2005, 16:08 (ссылка)

(нет голосов)

Загрузка ...

Помешанный

Профиль
Группа: Завсегдатай
Сообщений: 1423
Регистрация: 19.9.2004

Репутация: 2
Всего: 20

Wolf1994
нет необязательно.
mysql_real_escape_string экранирует все символы в зависимости от кодировки, которую ты поставишь.

Mal Hack

Дата 29.8.2005, 17:29 (ссылка)

(нет голосов)

Загрузка ...

Мудрый...

Профиль
Группа: Участник Клуба
Сообщений: 9926
Регистрация: 15.2.2004

Репутация: 122
Всего: 261

Цитата

mysql_escape_string() does not escape % and _.

This function is identical to mysql_real_escape_string() except that mysql_real_escape_string() takes a connection handler and escapes the string according to the current character set. mysql_escape_string() does not take a connection argument and does not respect the current charset setting.

Цитата

mysql_real_escape_string() calls MySQL's library function mysql_escape_string, which prepends backslashes to the following characters: NULL, \x00, \n, \r, \, ', " and \x1a.

Wolf1994

Дата 29.8.2005, 21:08 (ссылка)

(нет голосов)

Загрузка ...

Эксперт

Профиль
Группа: Завсегдатай
Сообщений: 1701
Регистрация: 5.10.2004

Репутация: 7
Всего: 29

Спасибо. буду пользоваться real escape.

1 Пользователей читают эту тему (1 Гостей и 0 Скрытых Пользователей)
0 Пользователей:
« Предыдущая тема \| PHP: Общие вопросы \| Следующая тема »