Защита от SQL-инъекций
22 Фев 2009
1. для текстовых значений
$sql = 'INSERT INTO table SET name="'.htmlspecialchars($name, ENT_QUOTES).'"';
а для выборки:
$sql = 'SELECT name FROM table WHERE id="1"'; echo html_entity_decode(mysql_result(mysql_query($sql),0,0),ENT_QUOTES);
Последние комментарии