желчи бы не было, если бы это был какой-то сложный, дискуссионный вопрос. Но проблема защиты от инъекций давно закрыта. В теории. А на практике - кругом одни незнайки, которые и сами ничего не понимают и - что хуже всего - другим советы дают. Ты бы не о желчи печалился, а о собственной неграмотности лучше.
Еще раз, по буквам. "экранирование вручную" делали в прошлом веке. Это не сработало. Если ты не в состоянии объяснить, как обеспечить защиту от инъекций, то не надо на эту тему и вякать.
Назар Мокринский: проблема в том, что я этот пример писал уже 100500 раз. Но самоуверенные неграмотные дети все равно не хотят ничего знать, кроме тупого видеокурса , который посмотрели в младенчечестве. При том что пример, который ты просишь, примитивный и очевидный: $id=mysqli_real_escape_string("5;DROP TABLE users"); $sql = "SELECT * FROM t WHERE id=$id"; Проблема, мальчик, не в примерах. проблема в тебе. Потому что даже получив пример, ты будешь вопить и юлить, рассказывая, что совсем не то имел в виду. Хотя это тот самый пример, который ты просил, и который на 100% подтверждает мои слова о том, что "mysqli_real_escape_string() не предназначена для защиты от инъекций, и не должна никогда использоваться для этих целей". Проблема в том, что ты - классический ламер, из палаты мер и весов: реальных знаний у тебя на копейку, но при этом ты считаешь, что все уже знаешь круче всех. Как бы вас всех отсюда повытравить, калек ментальных...
Назар Мокринский: ну сколько раз повторять, что mysqli_real_escape_string() не предназначена для защиты от инъекций, и не должна никогда использоваться для этих целей?
входящие данные не надо экранировать. это идиотизм, от которого наконец-то отказались еще в версии 5.3. Ценность остальных заявлений примерно такая же.
