(22 янв 2015, 18:53) (0/0)
[0]
Light, ничего плохого он не сделает. И кода слишком мало, чтоб его оценить
(22 янв 2015, 18:47) (0/0)
[0]
Light, так-то нет, но лучше не делать так, как ты делаешь. Я уже тебе написал об этом )
(22 янв 2015, 18:38) (0/0)
[0]
Все не так:
1) $_GET параметр не нужно преобразовывать, просто экранируй недопустимые символы при выборке из БД, а то так выходит, что, если $_GET = '1755;-++'; ты получишь 1755 и запись может быть найдена, а это как-то тупо…
2. Тоже самое и с POST, при записи в БД нужно только экранировать недопустимые символы, всё, больше ничего не нужно, а потом уже при выводе преобразовывать html сущности (чтоб не получить xss)
1) $_GET параметр не нужно преобразовывать, просто экранируй недопустимые символы при выборке из БД, а то так выходит, что, если $_GET = '1755;-++'; ты получишь 1755 и запись может быть найдена, а это как-то тупо…
2. Тоже самое и с POST, при записи в БД нужно только экранировать недопустимые символы, всё, больше ничего не нужно, а потом уже при выводе преобразовывать html сущности (чтоб не получить xss)
- 1 из 1
