Какие дыры остаются даже после mysql_real_escape_string?

Question

Какие дыры остаются даже после mysql_real_escape_string?

Насколько безопасен вход после прохождения через эту функцию?

Это 100% безопасно?

$id = $_POST['id'];
$id = mysql_real_escape_string($id);

0

php sql-injection mysql-escape-string

Источник

user941053 22 фев '12 в 12:18

2 ответа

Другие вопросы по тегам php sql-injection mysql-escape-string

user298479 22 фев '12 в 12:26 2012-02-22 12:26 · Answer 1 · 2012-02-22 12:26

Лучший способ - вообще не смешивать SQL с предоставленными пользователем данными, используя подготовленные операторы.

В вашем случае (при условии id это номер), просто используйте $id = intval($_POST['id']);, С простым целым числом вы не можете вводить что-либо. Тебе даже не нужно mysql_real_escape_string() В этом случае.

Для строковых аргументов, используя mysql_real_escape_string() достаточно - но никогда не забывайте заключать в кавычки аргумент в строке SQL!

user285587 22 фев '12 в 13:50 2012-02-22 13:50 · Answer 2 · 2012-02-22 13:50

Это не безопасно.
Это никак не связано с безопасностью

1

Источник

user285587 22 фев '12 в 13:50