не удивительно почему так быстро ломают сайты

а предварительно проверить содержание массива вещества не хватит? или хранимку написать на выборку?

Это ты мне? именно я и удивляюсь на то что людям плевать на свой сервер. Пишут как попало. В первую очередь это сервер, и программировать серверные приложения нужно хорошо обдумывая, безопасность превыше всего. Перед запросами в БД, нужно экранировать все данные которые втыкаются в запрос, иначе могут сделать sql injection. А это и дураку понятно к чему приведет.

ну в противном случае хотябы так прогнали бы:

implode( ',', array_map( 'mysql_real_escape_string', $arr ) )

Куда меньше возможностей сделать инъекцию.

лады пусть так (!) :lol:
Если уж на то пошло, тогда и

select * from ...

это быдло-запрос)))

смотря в каких случаях, если таблица огромная, то конечно использование знака "*", приводит к нагрузке... Если же в таблице пусть максимум и сотня записей, это не сильно страшно.

Что-нибудь в этом роде будет работать?

<INPUT type = "hidden" name = "Yes" value=<script>JSON.stringify(arr)</script>>

вообще, если по уму, то для выборки вьюхи надо использовать, а для инсерта/апдейта/делита хранимки. А за select * from внутри outer apply вообще расстреливать надо...

Дык ты так и не понял к чему я поднял этот разговор? Мне срать кто что и как там использует. Я написал не потому что автор что-то там юзает, а потому что ты дал ГОВЕНЫЙ пример спрашивающему, именно от таких примеров и рождаются говнокодеры. Либо давай нормальный полный пример, либо ничего не давай. А растить и помогать появляться говнокодерам себе же в минус. Так как ты немного забыл о том что в недалеком будущем, этот код может попасться тебе, если кто-то попросит тебя его доделать/переделать и сам же будешь плеваться от того что там понаписано.

Сейчас проверил на другом примере: JSON работает в firefox, в IE нет.