Addslashes() Versus mysql_real_escape_string() – PHP – Fórum – Programujte.com

TIP: Přetáhni ikonu na hlavní panel pro připnutí webu

Trvalé přihlášení

Zapomněl jsi heslo?

Addslashes() Versus mysql_real_escape_string() – PHP – Fórum – Programujte.com

Rozšířené hledání ›

Nejnovější témata ve fóru

22:06, Startupy Megastroj.cz – Vše na jednom místě: půjčovna, bazar a inze…

21:17, Inzerce FPGA vývojová deska XILINX VIRTEX 5 ML507

20:59, OS - GNU / Linux Ubuntu a OpenSuse

21:47, Offtopic Digitalizace v Česku

10:10, Cinema 4D Export USDC do DaVinci Resolve

16:58, Photoshop Jak odstranit (potlačit) odlesky

Stavba Laser Arény
Laser Game Brno

Fórum › PHP

Addslashes() Versus mysql_real_escape_string()

Prog.0

Věrný člen

20. 2. 2007 #1

Osobne pouzivam mysql query typu "select ... where field='".[podtrzene]AddShashes(...)[/podtrzene].'" Dnes som prvy-krat zbadal, ze existuje mysql_real_escape_string(), tak som sa v tom kusok zacal vrtat a narazil som aj na tuto stranku: http://shiflett.org/archive/184. Vzhladom na moju english som z toho nezachitil vela, akurat ze AddSlashes nemusi byt prave to najbezpecnejsie riesenie...

Rad by som pocul vase skusenosti, postrehy, resp. ak by mi to niekto z tej stranky vedel polopatisticky vysvetlit ;-)

Dik :-)

Nahlásit jako SPAM

IP: ...–

Prog.

dalaman0

Věrný člen

20. 2. 2007 #2

if(get_magic_quotes_gpc())

    $str = stripslashes($str);

  if(function_exists('mysql_real_escape_string'))

    $str = mysql_real_escape_string($str, $GLOBALS['conn']);

  else

    $str = addslashes($str);

Nahlásit jako SPAM

IP: ...–

Lepšie je mať psa na saláme ako salámu pod psom !!!

Prog.0

Věrný člen

20. 2. 2007 #3

Nemam rad ked mam slashovane stringy, tak ich natahujem cez vlastne fcie input($varname,$source,$default), inpost($varname,$default), inget(..), incook,.. vracaju hodnotu bez slashov, nezavisle na gpc... (o to teraz nejde:D)

Ked generujem query tak vtedy ich prezeniem cez AddSlashes, ale ked som to dobre pochopil, nieje to najbezpecnejsie...

Tak do main includov:D asi pribudne nova fcia esc($string) ktora bude pripravovat stringy na mysql, cize pouzije if(function_exists('mysql_real_escape_string'))...

Len sa mi to kapik nezda, ta fcia tie data odosle na mysql server, ten ich escapne podla toho aky charset sa pouziva a posle s5 ? Hm, pouzivam stale len jeden charset tak mi to kusok nesedi pouzivat to takto. To by bolo rozumnejsie napisat vlastnu fciu na escapovanie... aj ked zatial bude robit len to ze zavola AddSlashes a casom ked pochopim o co ide, mozem ju upravit ;-)

Nahlásit jako SPAM

IP: ...–

Prog.

DavesMan

~ Anonymní uživatel
~ 26 příspěvků

20. 2. 2007 #4

Jednoznačně používej mysql_real_escape_string, která správně oescapuje všechny řídící znaky MySQL databáze. Od toho tam ta funkce je. Navíc se řídí kódováním aktuálního spojení, což addslashes z principu nemůže.

Nahlásit jako SPAM

IP: ...–

Prog.0

Věrný člen

20. 2. 2007 #5

To DavesMan: jj, to chapem, ale sa mi zda trocha blbe poslat data mysqlku nech ich escapne posle spat a potom ich zase escapnute poslem tam. Potesilo by ma keby si php len zistilo charset a escapovalo samo...

Nahlásit jako SPAM

IP: ...–

Prog.

← Zpět na seznam vláken ← Zpět do Fóra