Скажите пожалуйста есть ли опастность sql-инъекции PHP: <?php function FT($FT) { $FT = stripslashes($FT); $FT = str_replace(";","/;",$FT); #$FT addslashes($FT); return $FT; } $sql="INSERT INTO `user` VALUES ('','".FT($_POST['login'])."','".md5(FT($_POST['pass']))."','".FT($_POST['mail'])."')"; ?>
- для md5 нет смысла прогонять параметр через FT - для остальных параметров используйте mysql_real_escape_string, который правильно обрабатывает NUL-символ и unicode-последовательности
Да 1 - stripslashes нужен только если включен magic_quotes_gpc 2 - функция str_replace() в данном случае вовсе не фильтрует ничего "опасного" (замечу в кавычках), вместо этого проще использовать одну встроенную в библиотеку MySQL функцию mysql_real_escape_string() которая экранировала бы ВСЕ "опасные" символы