26.02.2008, 03:17
|
|
Флудер
Регистрация: 20.11.2006
Сообщений: 3,316
Провел на форуме:
16641028
Репутация:
2371
|
|
Сообщение от DIAgen
Достаточно прогонять текстовые переменные по даной функции и больше не чего не надо
PHP код:
function secure_sql($value) {
if( get_magic_quotes_gpc()) {
$value = stripslashes( $value );
}
if( function_exists( "mysql_real_escape_string" )) {
$value = mysql_real_escape_string( $value );
} else {
$value = addslashes( $value );
}
return $value;
}
На вид большая функция а =\\
1) Зачем цифры переводить через эту функцию?
Достаточно
PHP код:
<?php
$xek = intval($xek);
?>
2) Оох... где-то еще есть серваки с пхп 3 чтобы делать поверку на существование функции mysql_real_escape_string ?
3) mysql_real_escape_string не экранирует символы % и _ также как mysql_escape_string что будет багой например при %LIKE% .....
Поэтому достаточно написать свою функцию в 3 строки с реплейсом % и _ на \%, \_ ну и mysql_real_escape_string
|
|
|