четверг, 02 марта 2006
18:02

техвопрос/баг?

все записи пользователя в сообществе Чакра
сказочница
Волею случая понадобилось мне в тексте сообщения написать SQL запрос с селектом. Для, так сказать, иллюстрации программерской мысли. Но увы, это сообщение отказалось добавиться, явно посчитав это запросом к базе. Методом проб и ошибок, причина вылета на ошибку 406 была найдена и исправлена - запись успешно добавилась. Но все же как-то неприятно :)


URL
Комментарии
02.03.2006 в 18:16

Dr0n
СА
как-то неприятно потом разгребать последствия шаловливых ручек после sql-инъекций.
URL
02.03.2006 в 18:19

Чакра
сказочница
Ну я к тому, что парсить бы и передавать такое как стринг типа "селект". Регэкспом или чем еще. Я ж не делала инъекций на предмет хакинга базы - а просто хотела отобразить пример кода как стринг.

ща попробую то же самое в кавычках запостить..



URL
02.03.2006 в 18:20

Чакра
сказочница
не, в кавычках тоже не прошло...
URL
02.03.2006 в 18:21

Dr0n
СА
отображайте в другом месте.

селект и прочие радости и так парсятся и блокируются.
URL
02.03.2006 в 18:29

Чакра
сказочница
Dr0n, ясн... будем писать иначе. Просто сообщение об ошибке в таком чисто случайном случае было неочевидно (
URL
02.03.2006 в 23:13

Magir
Эээ... а почему нельзя банально экранировать слеши при отправки записи и разэкранировать при отображении? :)))

URL
04.03.2006 в 02:59

Анамезонный крыс
Ведь жизнь – это единственная яркая сторона смерти. ©
Поддерживаю Magir.



Только экранировать надо не слэши, а кавычки слэшами. Есть такая функция mysql_real_escape_string() (или mysqli_real_escape_string() - смотря какое расширение юзается). А обратно ничего разэкранировать уже не надо - ибо в базе оно уже будет в нормальном представлении
URL
05.03.2006 в 08:37

Magir
INFOMAN ну да.. в моем комменте читать "слешами" :)

Я имел ввиду функциями addslashes и stripslashes :rotate:
URL