Немного бреда о SQL

**Rostov114** » 16 дек 2008, 21:36

Имеется скрипт...со входящими параметрами.
И имеется SQL запрос в БД без фильтрации и экранирования входных данных...точнее...

<?
$name = $_GET['name'];
/* Коннектимся с БД*/
mysql_query("SELECT * FROM `files` WHERE `name`='".$name."'");
?>

Теоретически если сделать заход на страницу с таким URL

http://demo.ru/?name='

то можно сделать SQL иньекцию...которая справоцирует ошибку.

Но у меня почемуто получается что все входные данные уже экранируются...тоесть

превращается в

\'

хотя этого мне не надо.

Обьясните...где я дурак....

zk » 17 дек 2008, 01:14

Какие-нибудь magic_quotes в php.ini включены?

**Rostov114** » 17 дек 2008, 01:19

zk писал(а):Какие-нибудь magic_quotes в php.ini включены?

; Magic quotes for incoming GET/POST/Cookie data.
magic_quotes_gpc = On

Оно?

zk » 17 дек 2008, 01:26

Точно, выключай.

**Костик** » 17 дек 2008, 01:59

а ведь я говорил давно в асе тебе об этом :wink:

(20:49:25 16/12/2008)
пхп посмари как настроен

**Rostov114** » 17 дек 2008, 02:07

Костик писал(а):а ведь я говорил давно в асе тебе об этом

Просто я не знал что это эта деректива.

zk писал(а):Точно, выключай.

Нее...так как я понял лучше...но в скрипте все равно проэкранирую...

zk » 17 дек 2008, 02:53

Все данные надо в скрипте проверять, а это баловство всё, которое может навредить.

**Rostov114** » 17 дек 2008, 03:27

zk писал(а):Все данные надо в скрипте проверять, а это баловство всё, которое может навредить.

magic_quotes_gpc = On

Может навредить?