Ковычка=кАвычка ;D
---
по сути, хотелось бы добавить о фрагментированных инъекциях
даже если при первичном запросе заэкранируется слеш/кавычка, то в базе мы все равно будем иметь одинарный слеш или одинарную кавычку, так?
PHP код:
$test=addslashes("lala\lala");
print $test; //lala\\lala
mysql_query("insert into table values('$test')"); //в базе имеем lala/lala
так что, в конечном итоге, имеем следующее
1. Необязательно, чтобы не было addslashes при первом запросе (занесении инъекта в базу)
2. Уязвимость сводится всего лишь к недостаточной фильтрации данных, извлеченных из бд
3. Редко где такое встретишь
в WP 2.2 было такое, что данные извлекаются, затем идет extract, а после extract только проверка) то есть перепутано местами-проверка и извлечение из бд