Имя

Сообщение


20.01.2008   LIMP

И последний вопросик нужно ли в файле index.php, который выводит информацию менять стоку:
$result = mysql_query("SELECT * FROM pages WHERE id = '".$_GET['id']."';", $link);
на
$result = mysql_query("SELECT * FROM pages WHERE id = '".mysql_escape_string($_GET['id'])."';", $link);
об этом написано в одном из предыдущих сообщений, если да то, что мы этим добъёмся???

mysql_escape_string — Экранирует SQL спец-символы для mysql_query. Это для того, чтобы было бессмысленным писать в адресной строке ?id=';DELETE%20FROM%20pages, т.е. все введенные злоумышленником кавычки не будут отрабатываться в sql запросах, т.к. перед ними добавятся слеши. На петерхосте они добавляются автоматически, поэтому в своем примере я этого не указывал.



Вопрос был задан на этой странице. Но если Вам это не интересно, могу предложить Вам почитать про размещение сайта: недорогой php хостинг mysql

 
  (c) Janda.ru