http://ru2.php.net/addslashes

вижу только рассуждения. откройте мне глаза...

Никак, если выключен magic_quotes, в таком случае возможно двойное слеширование, но такой лажи не допустят.

__________________
Я отдал бы немало за пару крыльев,
Я отдал бы немало за третий глаз
За руку на которой четырнадцать пальцев
Мне нужен для дыхания другой газ..

Мой блог:http://qwazar.ru/.

magic_quotes_gpc off
происходит только addslashes

никак

__________________
God forgive me for I have sinned
It’s been six months since my last confession
There is nowhere that I can run to
My soul I place in your hands

Попробовать передать $var не методом POST - GET, COOKIE.
P. S. into DUMPFILE 'log/file.php' /* - разве нужен не полный путь?

__________________
Нельзя считать себя достаточно взрослым, если у тебя школьные фотографии - цифровые.

sql-inj не возможна... тема закрыта =)

теоретически обход addslashes() возможен, если MySQL использует мультибайтовую кодировку, например GBK, BIG5, SJIS (но не UTF-8)
Подробнее
http://raz0r.name/vulnerabilities/sql-inekcii-svyazannye-s-multibajtovymi-kodirovkami-i-addslashes/

Не теоретически,дружищща Разик,а практически.Работает,как часы,если квотес отдыхает.Вот только не пойму,почему же двойная фильтрация ставит крест на всём этом.

1. MySQL 4.1.х->4.1.20 , 5.0.x->5.0.22 и PHP < 5.2.5
2. mysql_quotes_gpc = off (а что,про другие массивы уже забыли?)) )
3.А кто вообще их юзает?)))Впервые вообще их встречаюВот баг с сессиями - другое дело...
4.Если комменты *повязаны*,то в поле запроса можно внедрить запрос не более,чем разрешённая длина самого поля(((.

Поправьте меня,если что не так,но только мягко(Веля очень ронимая душа))) ).

МногоЗЫ: Недолго это будет актуально,ибо уже пыхыпы 5.2.9...