Problēmas ar teksta pievienošanu datubāzei

[sandrulis]

Kā lai pievieno tekstu datu bāzei ka tekstu satur gan " gan ' zīmes?

 

Jo pievienojot tekstu ar ' zīmi, tad nevar pievienot ja tektā ir " zīme un otrādi.

 

nav kaut kāda funkcija special_chars vai kkada?

[m8t]

mysql_real_escape_string()

[sandrulis]

paldies, itkā jau der, bet nav precīzākas funkcijas? jo ši funkcija pievieno "\" zīmi, var jau vienīgi izveidot tā lai nepievieno :)

[m8t]

Jā, vari neizmantot nekādu funkciju un būt vulnerable pret SQL injecēm :)

 

Vai arī izmanto manis doto funkciju liekot info. iekšā datubāzē un, kad velc kaut ko laukā, tad izvelc vēl cauri stripslashes(), lai noņemtu " \ ".

[sandrulis]

Paldies par info :)

[briedis]

Labrītiņ, tie "\" arī pasargā no tā, ka kāds varētu ******* tavu datubāzi. Tie sleši tak nesaglabājas datubāzē pēc kvērija izpildes!

 

m8t, priekškam tur stripslashes vēl?

[m8t]

@briedis

Nezināju, ka slashi nesaglabājas DB. Nebiju ievērojis.

[wintermute]

Nu viemēr jau var izmanto PDO un prepared statement'us, bet es stipri šaubos vai subjeks saprot, kas ir OOP.

[briedis]

@briedis

Nezināju, ka slashi nesaglabājas DB. Nebiju ievērojis.

 

Vai tad tu biji ievērojis, ka viņi saglabājas?

Cits jautājums, ja tev ir ieslēgts magic_quotes, kas automātiski samet slešus pie $_POST, $_GET utt..

[m8t]

@briedis

Nē, vispār neskatos un neanalizēju katru teksta simbolu, kas tiek pievienots datubāzei, tādēļ arī nepamanīju. Drošība no SQL injecēm + teksta noīsināšana pirms pievienošanas DB pietiekami labi strādā.