Всем привет, пишу цмс, решил поделиться полезным кодом для всех пыхыпышников.
P.S для безопасной работы с SQL
[code]
Функция:
function protection($string) {
$string = trim($string);
if (isset ($string)) {
$string = htmlspecialchars($string);
// для более безопасной работы, спасибо пользователя Saint за то что напимнил мне про ее существование мы не земеняем, а удаляем html теги.
$string = strip_tags($string);
}
else {
$string = NULL;
}
return $string;
}
Пример использования (SQL):
$_GET['age'] = (int) abs($_GET['age']);
$_GET['country'] = (string) protection($_GET['country']);
// (string) можно не писать если вы используете перемнную как строку
if (isset ($_GET['age'], $_GET['country'])) {
mysql_query(sprintf('SELECT * FROM `users` WHERE `age` = "%d" AND `country` = "%s"', $_GET['id'], $_GET['country']));
// учим php
// %d - число
// %s - строка
}
else {
}
[/code]
P.S полностью защищенный запрос.
Изм. 3 раз. / Посл. изм. (22 авг 2014, 07:11)
[мошенник] Вот так открытие 
Благодарю)
какой же это говно код. mysql_real_escape_string, intval уже не катят?
Изм. 1 раз. / Посл. изм. (19 авг 2014, 00:14)
зачем?) ты знаешь что делает sprintf? это ты говно несеш))
и кстате intval и (int) это одно и тоже.
Разве не полезный код?
sprintf не дает экранировать ' и ", так что mysql_escape_string здесь не нужно)
дададададададязнаю. Но (int) тупил. Тут у Веника скрипт исправлял..
помоему это ты тупишь)) int не может тупить)) мб твой сервер тупит? не думал?
