26.10.2008, 23:38
|
|
Познающий
Регистрация: 09.10.2006
Сообщений: 92
С нами:
10308818
Репутация:
87
|
|
Сообщение от .Slip
PHP код:
$blabla = is_numeric($_REQUEST) ? $_REQUEST : mysql_escape_string($_REQUEST);
Неужели ещё что то нужно? Определенно да. is_numeric проверяет принадлежность числовому диапазону, включая флоаты. Тоисть попади переменная вторым аргументом в mysql_array, получим раскрытие пути
Кстати, mysql_escape_string, как и все ф-ции mysql_* юзают апи mysql сервера, тоисть требуют аккаунт и подключение к субд. Вместо этого нашел офигенную штуку в zf
PHP код:
protected function _quote($value)
{
if (is_int($value)) {
return $value;
} elseif (is_float($value)) {
return sprintf('%F', $value);
}
return "'" . addcslashes($value, "\000\n\r\\'\"\032") . "'";
}
З. Ы. Гуглите о prepared statement. Все уже придумано до вас
Последний раз редактировалось EXSlim; 26.10.2008 в 23:51..
|
|
|