здравствуйте, есть код
$insert_sql = "INSERT INTO ".$pages_table." (`title`,`keywords`, `description`, `pages_inf`, `content`)" .
"VALUES('".$title."', '".$keywords."', '".$description."', '".$pages_inf."', '".$content."');";
как сделать его безопасным?
Про mysql_real_escape_string я знаю, но как его использовоть на столько переменных
И еще этот
$data_arr = array($title, $keywords, $description, $pages_inf, $content);
return $data_arr;
1. shahin - 28 Июля, 2014 - 15:56:23 - перейти к сообщению
2. teddy - 28 Июля, 2014 - 16:02:14 - перейти к сообщению
shahin пишет:
как его использовоть на столько переменных
Очевидно, надо применить эту функцию к каждой переменной. Но... Вы сейчас меня прочитали и забыли то, что я сказал
Расширение PHP, которое использует функции mysql_* устарело, используйте mysqli, либо pdo_mysql.
Если перейдете на одно из них, то рекомендую использовать подготовленные запросы. В таком случае отпадет необходимость экранировать данные перед выполнением запроса, за одно и отучитесь конкатенировать запросы с входящими данными.
http://php.net/manual/ru/book.mysqli.php
http://ir2.php.net/manual/ru/book.pdo.php
3. shahin - 28 Июля, 2014 - 16:16:09 - перейти к сообщению
a как вы отличили mysql от mysqli?
4. teddy - 28 Июля, 2014 - 16:39:42 - перейти к сообщению
Очень просто, Вы же сами написали про mysql_real_escape_string
5. shahin - 28 Июля, 2014 - 19:35:34 - перейти к сообщению
aaa ясно! А про экранирования что скажете? "'".$ddd."'" на сколько это безопасно (mysqli)
6. Ts.Saltan - 29 Июля, 2014 - 16:09:55 - перейти к сообщению
shahin пишет:
aaa ясно! А про экранирования что скажете? "'".$ddd."'" на сколько это безопасно (mysqli)
там используются подготовленные запросы http://docs.php.net/manual/ru/my...d-statements.php
7. shahin - 29 Июля, 2014 - 23:05:29 - перейти к сообщению
Спасибо вам ребята!