Защита от SQL инъекций
Тема избитая. По ней куча статей, но информация зачастую противоречивая.
Во-первых, вопрос - является ли слэширование (' -> \', " -> \") переменных, участвующих в SQL запросах, 100% защитой? Если нет - приведите, пожалуйста, пример такой инъекции.
И второй вопрос - на сколько функция mysql_real_escape_string(); справляется с задачей безопасности, хватает ли этой функции?
Во-первых, вопрос - является ли слэширование (' -> \', " -> \") переменных, участвующих в SQL запросах, 100% защитой? Если нет - приведите, пожалуйста, пример такой инъекции.
И второй вопрос - на сколько функция mysql_real_escape_string(); справляется с задачей безопасности, хватает ли этой функции?
Цитата: Valar
По ней куча статей, но информация зачастую противоречивая.
.
.
.
Если нет - приведите, пожалуйста, пример такой инъекции.
.
.
.
Если нет - приведите, пожалуйста, пример такой инъекции.
This function must always (with few exceptions) be used to make data safe before sending a query to MySQL.
Там же ( в документации) пример иньекции. Противоречивости не заметил.