(29 фев 2016, 20:53) (0/0)
[0]
donttime, http://www.gfs-team.ru/articles/read/20 взгляни сюда, тут говорят что если http://site.ru/mail.php?user=1;+DROP+TABLES+user - то конец. Получается что от htmlspecialchars и mysql_real_escape_string нет никакой пользы.
Вот я о чём тебе говорю, а ты мне пихаешь sprintf или другие статьи, я у тебя именно про mysql_real спросил.
Вот я о чём тебе говорю, а ты мне пихаешь sprintf или другие статьи, я у тебя именно про mysql_real спросил.
(29 фев 2016, 20:48) (0/0)
[0]
donttime, я тебе про mysql_real спрашиваю а ты мне впихиваешь sprintf
(29 фев 2016, 20:43) (0/0)
[0]
donttime,
Да, но опять же смотри.
mysql_real_escape_string - это тоже как защита от sql inj как говорят все, тогда смысла от mysql_real_escape_string именно в данном случае нет?
mysql_real_escape_string - это тоже как защита от sql inj как говорят все, тогда смысла от mysql_real_escape_string именно в данном случае нет?
(29 фев 2016, 20:22) (0/0)
[0]
donttime, да я понял, только меня удивляет кое что, люди говорят что если htmlspecialchars или mysql_real_escape_string, то можно защититься практически полностью от иньекций и xss, но эти функции ведь не фильтрируют +,union и ;... Так в чём фишка mysql_real_escape_string если всё же можно ломать?
(29 фев 2016, 20:08) (0/0)
[0]
donttime, а mysql_real_escape_string фильтрирует ли знаки - "; +"? Как защититься от +union+ и ;?
(29 фев 2016, 20:07) (0/0)
[0]
donttime,
А здесь что-то странно
http://www.php.su/mysql_real_escape_string
Пример 1. Пример использования mysql_real_escape_string()
http://www.php.su/mysql_real_escape_string
Пример 1. Пример использования mysql_real_escape_string()
(29 фев 2016, 20:02) (0/0)
[0]
donttime,
Нет, это я для теста создал обычную страницу и вписал туда
<?
$q = 'test';
echo mysql_real_escape_string($q);
?>
<?
$q = 'test';
echo mysql_real_escape_string($q);
?>
