SQL injection полный FAQ

#11

12.10.2013, 19:31

maverick

Новичок

Регистрация: 29.08.2010

Сообщений: 1

С нами: 8265206

Репутация: 0

Друзья, помогите!

Пытаюсь найти аргументы для товарища, который считает что конструкция безопасна:

PHP код:


		
			
[COLOR="#000000"][COLOR="#0000BB"]
$data[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#0000BB"]$db[/COLOR][COLOR="#007700"]->[/COLOR][COLOR="#0000BB"]query_once[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#DD0000"]'SELECT id, email FROM users WHERE email="'[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#0000BB"]mysql_real_escape_string[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]substr[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]$_POST[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#DD0000"]'email'[/COLOR][COLOR="#007700"]],[/COLOR][COLOR="#0000BB"]0[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#0000BB"]60[/COLOR][COLOR="#007700"])) .[/COLOR][COLOR="#DD0000"]'" LIMIT 1'[/COLOR][COLOR="#007700"]);

[/COLOR][/COLOR]

но к сожалению никак не нагуглю обход mysql_real_escape_string

Я хочу сказать, что правильнее было бы параметризировать запрос, но пока я не покажу как обойти эту конструкцию. Потому прошу помощи. Если конечно я не заблуждаюсь.