хотел бы еще раз обсудить данную тему
мой вариант:
- выносим из строки символы с 0 по 31 включительно кроме переноса строки
- заменяем %, ( и * на html эквиваленты
- экранизируем те кавычки, которые используем в запросе
ПОЖАЛУЙСТА ДОПОЛНЯЙТЕ, ЕСЛИ ЕСТЬ ЧЕМ
1. IOpeH - 04 Ноября, 2008 - 16:32:21 - перейти к сообщению
2. valenok - 04 Ноября, 2008 - 16:50:04 - перейти к сообщению
вместо пунктов 1 и 3 - mysql_escape_string
вместо пункта 2 - при выводе содержимого из бд htmlspecialchars
вместо пункта 2 - при выводе содержимого из бд htmlspecialchars
3. IOpeH - 04 Ноября, 2008 - 17:56:00 - перейти к сообщению
я хотел обсудить что именнно надо заменять, а не каким образом
4. IOpeH - 05 Ноября, 2008 - 00:59:35 - перейти к сообщению
mysql_real_escape_string($str) - хорошая функция, вроде как сама определяет что надо экранизировать
5. EuGen - 21 Ноября, 2008 - 17:18:00 - перейти к сообщению
Хорошая. Но не всегда дает именно то, что нужно.
6. Ыыы - 22 Ноября, 2008 - 02:02:20 - перейти к сообщению
Цитата:
Хорошая. Но не всегда дает именно то, что нужно.
Объясните пожалуйста, что Вы этим хотели сказать.