01.02.2009, 04:56
|
|
Постоянный
Регистрация: 19.03.2007
Сообщений: 684
Провел на форуме:
3152874
Репутация:
1020
|
|
Сообщение от [Raz0r]
Используй mysql_(real_)*escape_string()
тут надо уточнить, если параметры пришедшие из вне вставляються в гверю без кавычек то
mysql_real_escape_string() вызывает библиотечную функцмю MySQL mysql_real_escape_string, которая добавляет обратную косую черту к следующим символам: \x00, \n, \r, \, ', " and \x1a.
то есть например
$sql="SELECT `password` FROM user where id =".mysql_real_escape_string($_GET['user'])."LIMIT 1";
все равно уязвим.
Последний раз редактировалось AkyHa_MaTaTa; 01.02.2009 в 19:53..
|
|
|