Приветствую. Получилась такая интересная ситуация - я много где при запросе к базе в качестве защиты от инъекций использовал на полученную строковую переменную функцию htmlspecialchars ввиду ее отличной работы. Однако недавно выяснил, что по умолчанию она не превращает в спецсимволы одинарные ковычки, а делает это только если передать ей доп параметр ENT_QUOTES вторым. Подскажите - может можно как-то убедить рнр везде по умолчанию вызывать эту функцию с этой константой чтоб не переписывать все исходники? Было бы очень здорово, очень надеюсь на вашу помощь
Ты в базу пишешь строку с html сущностями, я правильно понял? Добавлено спустя 26 секунд: Сори, не правильно сначала понял... Добавлено спустя 1 минуту 42 секунды: Мужик, htmlspecialchars тебя никак не защищает от sql инъекций, если что... Так что вообще убирай свои htmlspecialchars и экранируй с помощью real_escape_string или подобного (в зависимости от того, чем пользуешься).
Ебаные советы. Работать надо в IDE. Например в бесплатном netbeans. Там все это встроенное. Добавлено спустя 2 минуты 55 секунд: real_escape_string уже не даёт защиты. Ей нельзя пользоваться.
ну я вообщем-то хотел сказать, чтобы он воспользовался функцией, экранирующей спец. символы в строке для использования в sql выражении... лень было подобрать правильные слова, потому и сказал "real_escape_string или подобного"...