Что вообще делает эта функция? Что она экранирует SQL запросы я знаю. Но как? Что пропускает и что нет? Если я обрабатываю данные SQL запросов, скажем htmlspecialchars? то ей можно не пользоваться?
http://yandex.ru/yandsearch?clid=14585& ... ape_string http://doc.mpv.ru/php/function.sqlite-e ... tring.html
Не стоит путать. HTML отдельно, SQL отдельно. htmlspecialchars это способ защититься от простейших xss и социальной инженерии. А escape_string - от sql-инъекций
PHP: <?PHP $descr=sqlite_escape_string(htmlspecialchars($_POST['descr'], ENT_QUOTES)); $name=sqlite_escape_string(htmlspecialchars($_POST['name'],ENT_QUOTES)); $added=sqlite_escape_string($_POST['added']); ...... $date=date('y-m-d'); $query="INSERT INTO folders VALUES (NULL, '$cId', '$path', '$name', '$descr')" ?> Примерно так?
Достаточно ли обрабатывать все принимаемые данные функцией sqlite_escape_string для избежения SQL инъекции?