Насколько безопасна выборка из базы?
В коде движка нашел подобный код (и не в одном месте)
$delete_name=str_replace("'","",$_GET['delete_name']);
$query="select count(*) from catalog_data where name='".$delete_name."'";
$kol = query_count($query);
т.е по-сути, перед отправкой в базу, только замена одинарной кавычки. Насколько безопасна данная выборка будет, если нет никакой фильтрации или pdo ?
Желательно развернутый ответ, если небезопасно ! Спасибо
Строго говоря, MySQL требует только, чтобы обратная косая черта \ и
символ кавычки ', используемый, используемый для указания строки в
запросе, были экранированы.
Функция mysql_real_escape_string экранирует другие символы, чтобы облегчить их чтение в файлах журнала.
https://stackoverflow.com/questions/16255585/what-does-the-x1a-characters-mean/#16255607
Экранирование слэша нужно чтобы при экранировании кавычки нельзя было экранировать сам добавляемый слэш. В вашем примере делается не экранирование кавычки, а удаление, значит со слэшем делать ничего не надо и инъекция SQL кода невозможна.
Тем не менее можно как минимум вызвать отказ в обслуживании, передав обратную косую и заэкранировать последнюю одинарную кавычку
-
12:23
-
20:41
-
06:31
-
21:28
-
22:18
-
08:00
-
13:46
-
10:14
-
18:32
Сборка персонального компьютера от Artline: умный выбор для современных пользователей
- Почему SERVER_ADDR имеет не тот IP 49911 visits
- Как заменить $_SERVER[REMOTE_ADDR] на IP клиента в PHP за двумя Nginx? 31901 visits
- Хочу вывести несколько строк из массива в один div, выводит только много undefined; подскажите, что делать? 25874 visits
- Как через css изменить цвет png изображения? 11721 visits
- Blob video url download 11267 visits
- Php curl запрос через прокси с авторизацией 10662 visits
- Работа с captcha vk api 9470 visits
© "hostciti.net" 20.12.2025 | 02:12