Здравствуйте!
Я хочу в обработчике формы сделать защиту от SQL-инъекций.
И в обработчике пишу так:
1. Itan - 08 Октября, 2011 - 18:00:42 - перейти к сообщению
Пробую ввести в строку форму такое:
<html> select * from isse_comments where id= 'admin'
На выводе получается так:
<html> select * from isse_comments where id= \\\'admin\\\'
Теперь я поставил просто
Ввожу в строку формы <html> select * from isse_comments where id= 'admin'
И на выходе получается:
<html> select * from isse_comments where id= \'admin\'
Вопрос: почему в первом случае много слешей, и стоит ли использовать функцию mysql_escape_string совместно с htmlspecialchars? И вообще стоит ли её использовать, если она делает столько слешей? (ведь для экранизации в БД нужен хотя бы один?)