Ну юмористы. Я писал о том, что не нужно все что вам написано цитировать, включая и кучу кода, чего вами было сделано.
Теперь же, вы берете из моего цитаты, для комментирования, но не помещаете их в теги цитирования, и как теперь это прочесть?
|
Сообщение от Tomson123
|
|
mysql_real_escape_string отвечает если я не ощибаюсь за то чтобы не было SQL иньекций!
|
Я прекрасно осведомлен о данной функции и ее предназначении, но то что вы делаете, это полный бедлам. И вообще, пора выбрасывать в помойку оригинальное расширение MySQL. Кроме того, вы разработчик, вы и только вы определяете типы данных которыми будет производится обмен клиента с сервером. Допустим, серверный сценарий ожидает от клиента число идентификатор для выборки по нему из базы. В данном случае выгоднее привести полученное значение к ожидаемому типу и по результату делать или нет запрос к базе, чем использовать mysql_real_escape_string:
if($id = (int)$_POST['id']) {
//запрос по WHERE id = $id
} else //подстава
Я не стану дальше комментировать ваши вопросы. Вы запутались в понимании и назначении функций, поэтому и "обезопасить" у вас превращается в кошмар.
Как быть с ВВ тегами, ссылками и прочим, это совсем иной вопрос, ибо формат ВВ и выбран таковым, что символы его описывающие не несут в себе никакой опасности. БД может хранить в себе любые "колющиеся и режущиеся предметы", окошмаривать их непотребными действиями при записи в базу потому, что страшно, это от недопонимания.