Warning: Cannot use a scalar value as an array in /home/admin/public_html/forum/include/fm.class.php on line 757
Warning: Invalid argument supplied for foreach() in /home/admin/public_html/forum/include/fm.class.php on line 770 Форумы портала PHP.SU :: Версия для печати :: защита от sql инъекции
Есть проблема если допусти в адресной строке указать test.ru/guest.php?str=1
то проходит нормально всё
если указать в запросе одинарную кавычку test.ru/guest.php?str='
то вылазит ошибка
You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '-15,15' at line 1
Можно конечно проверять $_GET ['str'] на число например так is_int ($_GET ['str']) и это будет работать но может есть более правильный способ?
PDO + prepared statement (Добавление)
В майскули препаред тоже есть.
Но это решение для запроса написанного другим способом.
У меня процедурный стиль и в этом случае подготовку запроса не выполнить. Или я не прав?
Подскажите пожалуйста.