И имеется SQL запрос в БД без фильтрации и экранирования входных данных...точнее...
- Код: Выделить всё • Развернуть
<?
$name = $_GET['name'];
/* Коннектимся с БД*/
mysql_query("SELECT * FROM `files` WHERE `name`='".$name."'");
?>
Теоретически если сделать заход на страницу с таким URL
- Код: Выделить всё • Развернуть
http://demo.ru/?name='
то можно сделать SQL иньекцию...которая справоцирует ошибку.
Но у меня почемуто получается что все входные данные уже экранируются...тоесть
- Код: Выделить всё • Развернуть
'
- Код: Выделить всё • Развернуть
\'
Обьясните...где я дурак....