У меня вот такой вопрос. Можно ли кодом приведенным ниже исключить SQL инъекции.
Если нет, то каким образом сделать защиту лучше. Заранее большое спасибо.
PHP:
скопировать код в буфер обмена
скопировать код в буфер обмена
- <!-- Формы ввода forms.php -->
- <?PHP
- {
- include("forms2.php");
- }
- ?>
- <table width="950" align="center" border="0" cellpadding="5" cellspacing="0" >
- <form enctype='multipart/form-data' method="POST" >
- <tr>
- <td align="center" valign="middle" class="colorText" colspan="2">
- <?PHP
- {
- print "<p class=colorWarning>$error</p>";
- }
- ?>
- </td>
- </tr>
- <tr>
- <td height="30" align="right" valign="middle" >
- <span class="colorNameForm">Фамилия<font color="#FF0000">*</font></span>
- </td>
- <td height="30" align="left" valign="middle" >
- <input size="35" type="text" class="colorEnterForm" name="family" maxlength="30" <?PHP echo "value=$family"; ?>>
- </td>
- </tr>
- <tr>
- <td height="30" align="right" valign="middle" >
- <span class="colorNameForm">Телефон<font color="#FF0000">*</font></span>
- </td>
- <td height="30" align="left" valign="middle" >
- <input size="35" type="text" class="colorEnterForm" name="phone" maxlength="50" <?PHP echo "value='$phone'"; ?>>
- </td>
- </tr>
- </form>
- </table>
- <!-- Обработчик HTML-формы forms2.php -->
- <?PHP
- //фамилия
- //номер контактного телефона
- //соединения с MySQL сервером
- include("connect.php");
- //директива magic_quotes_gpc
- {
- }
- //экранируем спецсимволы mysql_real_escape_string
- //==============================
- //заносим данные в MySQL таблицу
- //==============================
- //закрытие соединения с MySQL сервером
- }
- ?>