Защита от SQL-инъекций
22 Фев 2009
1. для текстовых значений
$sql = 'INSERT INTO table SET name="'.htmlspecialchars($name, ENT_QUOTES).'"';
а для выборки:
$sql = 'SELECT name FROM table WHERE id="1"'; echo html_entity_decode(mysql_result(mysql_query($sql),0,0),ENT_QUOTES);
2. для целых числовых значений
$sql = 'SELECT * FROM table WHERE id="'.(int)$number.'"';
В принципе это основные методы, можно пользоваться обычной функцией mysql_escape_string
Последние комментарии