Gemorroj [Off] [#] (28.03.2008 / 15:44)

еще момент, эта фильтрация не позволяет выполнить SQL запрос, НО всякие кавычки, слеши и нулл байт так и вносятся в базу, и вот уже занесенными в базу этими символами можно если сильно подумать воспользоваться =)

Esi0n [Off] [#] (27.03.2008 / 23:30)

Вово таже фигня, тока не база, а табличка НЕ открываецо, не удаляеццо, не чистицо 0_о

AlkatraZ (SV!) [Off] [#] (27.03.2008 / 22:57) Уездный предводитель Каманчей

Пример, я добавляю в базу текст:
$text = $_POST['text'];
$text = mysql_real_escape_string($text);
mysql_query("insert into `mytable` set `text`='" . $text . "';");

Уязвить базу при таком добавлении невозможно.

AlkatraZ (SV!) [Off] [#] (27.03.2008 / 22:45) Уездный предводитель Каманчей

Я знаю, что реалэскейп не экранирует знак процента % и поэтому нужно быть осторожным с фильтрацией в запросах с оператором LIKE, но в остальных случаях, инъекция невозможна.
З.Ы.
Или я ошибаюсь? гг

zick [Off] [#] (27.03.2008 / 22:42)

Хм, у меня такой функции в мануале нет..

AlkatraZ (SV!) [Off] [#] (27.03.2008 / 22:24) Уездный предводитель Каманчей

Превед уважаемые!
Вот у меня такой вопрос по уязвимостям.
Знает ли кто, можно ли пробить на SQL инъекцию при добавлении в базу, если данные обрабатываются mysql_real_escape_string()
Я пока не нашел путей обхода, но если кто-то знает пример, буду очень благодарен за информацию.