(4 янв 2015, 14:56) (0/0)
[0]
Crank,
Правильно. Везде где передаются динамические данные SQL'у используй эту функцию для фильтрации. Она предотвратит от SQL inj и будет соблюдать синтаксис SQL при записи в БД.
(4 янв 2015, 14:49) (0/0)
[0]
Crank,
Создай файл quote.php и прописывай где надо
include 'quote.php';
include 'quote.php';
(4 янв 2015, 14:15) (0/0)
[0]
Crank,
При выводе данных из бд фильтруй htmlspecialchars() этим фильтром.
(4 янв 2015, 14:09) (0/0)
[0]
1. Покажи функцию nl2br() и что передает $chat_no ?
2.
<?php
function quote($value) {
if(!is_numeric($value)) {
$value = "'".mysql_real_escape_string($value)."'";
}
return $value;
}
?>
mysql_query("INSERT INTO `chat_no` (`msg`, `id_us`,`name`) VALUES ('".quote($_POST['msg'])."', '".$user['id']."','".quote($user['login'])."')";
2.
<?php
function quote($value) {
if(!is_numeric($value)) {
$value = "'".mysql_real_escape_string($value)."'";
}
return $value;
}
?>
mysql_query("INSERT INTO `chat_no` (`msg`, `id_us`,`name`) VALUES ('".quote($_POST['msg'])."', '".$user['id']."','".quote($user['login'])."')";
- 1 из 1
