- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Как снизить ДРР до 4,38% и повысить продажи с помощью VK Рекламы
Для интернет-магазина инженерных систем
Мария Лосева
В 2023 году 36,9% всех DDoS-атак пришлось на сферу финансов
А 24,9% – на сегмент электронной коммерции
Оксана Мамчуева
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
Да. В одинарных.
Знаю глупость, но работает. У меня на входе, в обработчике стоит проверка на пробелы и кавычки.
$prov1 = substr_count($brand, "%20");
$prov2 = substr_count($brand, " ");
$prov3 = substr_count($brand, "'");
Для большей уверенности думаю ещё добавить
$brand = str_replace("=", "", $brand);
вообще неправильно. Во первых я напишу вместо ' %27 и вот вам sql-инъекция. А раз у вас одинарные кавычки в базе встречаются, то делается это так:
вообще неправильно. Во первых я напишу вместо ' %27 и вот вам sql-инъекция. А раз у вас одинарные кавычки в базе встречаются, то делается это так:
%27 это не пробел ' OR ''=', это типо так 'OR''='?
Если да, то я доставил ещё проверку на '='.
Да и понял, нужно переменные взять в двойные кавычки.
Простите, а от куда \ в запросе появится?
Сильно не пинайте, я только учусь, разбираюсь с этим делом.
Спасибо
---------- Post added 08-04-2015 at 14:40 ----------
$brand = str_replace("'", "\\'", $brand);
На мой взгялд в этом конкретно, нет необходимости, так как в априори в названии бренда нет '
Поэтому скрипт просто отдаст ошибку если в бренде будет '
$prov4 = substr_count($brand, "'");
я напишу вместо ' %27 и
… и веб-сервер автоматически перекодирует %27 и передаст в скрипт '
А раз у вас одинарные кавычки в базе встречаются, то делается это так
Это делается штатными escape-функциями mysql, о которых я написал выше.
;13638018']Это делается штатными escape-функциями mysql, о которых я написал выше.
Спасибо оргомное. Обязательно ознакомлюсь. Просто сейчас пока сделал так.
Там надо освоить материал. Я пробежался, но это не быстро сделать. Нужно время.
postavkin, Котеров 2008, глава 28.
Там всё тоже самое, только вместо
str_replace(stripslashes(htmlspecialchars(strip_tags(и_другие_велосипеды(…)))))
делаете
mysql_real_escape_string(…)
всё.