Ošetření ' a " znaků, obrana proti SQL Injection a dalším takovýmhle útokům. – MySQL – Fórum – Programujte.com

Zdravím, zajímalo by mě jak se ošetřuje tato věc, vím že všude jinde je o tom kvantum informací, ale vetšinou je to dělaný v OOP, který bohužel vubec nechápu (nebo jsem se jím spíše ještě moc nezabýval).

Zajímalo by mě jak vložit do MySql string obsahující znaky ' a ", aby to nedělalo neplechu a také jak zabránit vkládání těchto znaků.

Díky moc za odpoved.

mysql_escape_string();

Take když zadáváš třeba tedy ty data do databáze tak nejdřiv ošetříš tohleto a pak to dáš vypsat do query ? Tedy nějak takto?
$Nazev = mysql_escape_string($_POST["Nazev"]);
$Text= mysql_escape_string($_POST["Text"]);
mysql_query("INSERT INTO tabulka (Nazev, Text) values ('" . $Nazev . "', '" . $Text . "')")

/////Pokud je toto dobře, jak se pak ošetřujou data nazpátek, tzn když to chci z tý MySql vypsat někam?

stripslashes

stripslashes — Zrušit escapování provedené funkcí addslashes()

Ale když to ošetřim přes mysql_escape_string(); a pak přes stripslashes (); vypíšu, tak to fungovat nebude ne ?

Aha, tak jsem se na netu docetl, ze to neni treba, ze kdyz se data nacitaji zpet, jsou v puvodnim tvaru. Uprimne, nevim proc tomu tak je, ale je to tak, podle webu :-)

http://www.phpbuilder.com/board/archive/index.php/t-10320286.html

Kazdopadne by na to stripslashes melo fungovat, dela to to same co ta mysql funkce, jen nedela escaping pred %.

Mno tak paráda, aspon je tam o řádek mín :) díky