Павел: селект и инсерт с унионом не получица наверное. Запросы должны возвращать идентичные поля. Т.е. сами идентичными. Посмотреть ченить через унион можно. Вывести всех юзеров например, если есть ченить типо того. Или вывести в форму редактирования попробовать вв профиле.
Павел: к тому же хтмлспециал чарс с дефолт флагами экранирует двойные ковычки. Именно поэтому не работает инъекция. Обычно люди экранируют стороковые перменные мускула через одиночные кавычки, и на этом построены все инъекции. Т.е. вы грубо говоря наебали систему, но осложнили себе жизнь в дальнейшем.
Павел: ну я так и пишу что 2 последовательных запроса не работают в этой версии драйвера мускула.
hack" or 1=1; кончается первый запрос с точкой-запятой.
Павел: так надо смотреть в комплексе. От инъекций защитится проще. Об этом даже не думают сейчас просто используя подготовленные выражения. Ваш код вполне безопасен от инъекции в таком виде (именно этот запрос). Но он ломается на раз два. Нет нормальной валидации, и потенциально несет в себе кучу издержек при рефакторинге. Допустим вы точно также какую-нибудь статью заэкранируете, вот мороки то будет ;D А в дальнейшем решите добавить некоторые теги....
Короче, это назвается говнокод. На помойку его.
Олег Эфимчук: вот как только не понимаешь как решить проблему с таким пробелом знаний, вот так сразу и готов. Одно дело когда ты что-то недопонимаешь, другое когда "запили мне дверь!" с полным непониманием вопроса и нежеланием гуглить основы.
Это ж таблицы карл! Школьный курс 8 класса нынче!