За последние 24 часа нас посетили 18029 программистов и 1640 роботов. Сейчас ищут 1697 программистов ...

обработка данных при подстановки в sql запрос

Тема в разделе "Прочие вопросы по PHP", создана пользователем yura, 23 янв 2010.

  1. yura

    yura Активный пользователь

    С нами с:
    23 янв 2010
    Сообщения:
    8
    Симпатии:
    0
    скрипт получает данные из формы, которые потом вставляются в sql запрос. Данные могут быть и числами и строками. как правильно обработать эти данные чтобы избежать sql инъекций. Достаточно ли использовать функции intval(), strval(), htmlspecialchars() и mysql_real_escape_string()
     
  2. Simpliest

    Simpliest Активный пользователь

    С нами с:
    24 сен 2009
    Сообщения:
    4.511
    Симпатии:
    2
    Адрес:
    Донецк
    достаточно mysql_real_escape_string()
    Впрочем для целых чисел лишним не будет и intval()

    Можно еще работать через MySQLi
    и использовать связку
    Код (Text):
    1. stmt->prepare()
    2. stmt->bind()
    3. stmt->execute()
    В последнем случае никакой дополнительной обработки данным делать не обязательно (т.е. mysql_real_escape_string(), intval() - не нужны)
     
  3. yura

    yura Активный пользователь

    С нами с:
    23 янв 2010
    Сообщения:
    8
    Симпатии:
    0
    я знаю MySQL а что такое MySQLi
     
  4. Simpliest

    Simpliest Активный пользователь

    С нами с:
    24 сен 2009
    Сообщения:
    4.511
    Симпатии:
    2
    Адрес:
    Донецк