|
Сообщение от NeilDaniels
|
|
Делал так, как Вы учили.
|
Этому я вас не учил.
Данные подставляемые в качестве параметра запроса обязательно нужно обрабатывать, иначе это не "вероятность", а 100% возможность инъекции.
Строковые значения данных принятых извне при выводе клиенту обязательно надо пропускать через htmlspecialchars.
Столько копий ломалось, столько раз спрашивалось о данных отдаваемых клиенту, а там данных то кот наплакал, и в данном случае хватило бы html.
$data1['vall1'] - такая же переменная как и $lod, то есть создавать промежуточную переменную $lod ради того чтобы поместить ее в массив, это расточительство. Да и не надо создавать массив промежуточный - mysql_fetch_array и возвращает массив данных одной строки запроса. Только использовать mysql_fetch_array без второго параметра, это плохо.
vall1, vall2, ..., vall_восьмерка_на_боку, это самому же запутаться.