эм... хотелось бы поинтересоваться почему недопустимо?
Думаю он имел ввиду,что если знаешь что должно быть число,то легче юзать преобразование типов: (int),intval,settype или например проверять is_numeric,etc...
Думаю он имел ввиду,что если знаешь что должно быть число,то легче юзать преобразование типов: (int),intval,settype или например проверять is_numeric,etc... qaz
Перечитай статью,ты ничего не понял.
я уже раз 20 перечитал, серовно чёт не плучается, што я не понял?, хелп
"SELECT * FROM table WHERE id = '".mysql_real_escape_string($_GET['id'])."' and name = '".mysql_real_escape_string($_GET['name'])."'";
id число
name строка
а кто-то делает так:
PHP код:
[COLOR="#000000"][COLOR="#0000BB"][/COLOR][COLOR="#DD0000"]"select * from table where id="[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#0000BB"]mysql_escape_string[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]$_GET[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#DD0000"]'id'[/COLOR][COLOR="#007700"]]);
[/COLOR][/COLOR]
qaz
походу БД должна быть в любой кодировке, совместимой с asci, а на сайте использоваться одна из перечисленных в статье.
Если я правильно все это понимаю, то в таком несоответствии возможна инъекция...