woonem
@woonem

При записи параметров GET в MySQL нужно экранировать какие-то символы для предотвращения выполнения произвольного кода?

При записи нужных параметров из массивов $_GET и $_POST (то есть любого значения) в таблицы MySQL нужно использовать какие-то функции экранирования, например mysql_escape_string или addslashes, для предотвращения выполнения произвольного кода?
  • Вопрос задан
  • 484 просмотра
Пригласить эксперта
Ответы на вопрос 1
FanatPHP
@FanatPHP
Чебуратор тега РНР
из массивов $_GET и $_POST (то есть любого значения)

Вообще-то, кроме $_GET и $_POST бывают и другие массивы. и не массивы. На источник "любого" значения $_GET и $_POST никак не тянут, непонятно, с чего этим двум такая честь.

использовать какие-то функции экранирования, например mysql_escape_string или addslashes, для предотвращения выполнения произвольного кода?

а это уже полный бред. Я навскидку приведу десяток примеров, когда "функции экранирования" не предотвратят вообще ничего. А всё почему? Потому что предназначение этих функций совсем другое, к защите от выполнения кода никакого отношения не имеющее.

Для защиты от исполнения кода любые переменные должны попадать в запрос через плейсхолдер.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы