Forum Webscript.Ru

Программирование => PHP => Тема начата: Tankist от 04 Августа 2002, 15:38:59

Название: magic_quotes
Отправлено: Tankist от 04 Августа 2002, 15:38:59

Блин я врубал, врубал так зачем эта фишка вообще в ПХП нужна, зачем слэши перед ковычками ставить?

Название: magic_quotes
Отправлено: Макс от 04 Августа 2002, 15:58:56

предположим
http://server.ru/del.php?login=user
а в скрипте del.php:
mysql_query("DELETE FROM tab WHERE login=\'$login\'");

второй вариант
http://server.ru/del.php?login=user\' or 1=1\'
запрос буде выглядеть
DELETE FROM tab WHERE login=\'user\' or 1=1;
И вся таблица будет очищена, а добавление слешей защищает от подобных SQL-вставок

Название: magic_quotes
Отправлено: Tankist от 04 Августа 2002, 17:02:24

http://server.ru/del.php?login=user\' or 1=\'1
DELETE FROM tab WHERE login=\'user\' or 1=\'1\';
Вернее ты вот что хотел написать, как я понял:)
Спасибо теперь врубился

Название: magic_quotes
Отправлено: Ardzhan от 04 Августа 2002, 18:12:02

Кстати для баз данных лучше юзать addslashes... Этот оператор и NULL слэшит...