- Κείμενο
- Ιστορία
Your current function seems fine to
Your current function seems fine to me. It even takes the (very confusing) magic_quotes_gpc setting into account. In case you're unsure what magic_quotes_gpc is, it's a setting in PHP that automatically backslashes all user input variables (ie. values in $_GET, $_POST and $_COOKIE, hence "gpc"). In fact, this feature was added in an attempt to automatically prevent novice PHP users to (unknowingly) incorporate SQL injection holes in their code. Unfortunately, for people who know what they're doing, this is just a huge nuissance.
The behavior that the query sent to your DB contains escaped quotes but the actual result as it is stored in the DB does not is completely normal, and it's exactly the reason why you should always make sure to escape quotes in queries.
The backslashes are added to make sure your value doesn't break the syntactical rules of your query: a backslashed single quote is used to signify a single quote where an actual single quote can't be used because it would break the query syntax. Because both you and the DB know this convention, this makes sure that the database can correctly read your value from the query: it will remove the backslashes from the quotes again when parsing the query.
The reason your SQL injection attempt failed (ie. it inserted the exact value as the user entered it rather than breaking the query) is exactly because you have escaped the input with mysql_real_escape_string, and that's a good thing.
Consider how your query looks after having applied mysql_real_escape_string to the user input:
The behavior that the query sent to your DB contains escaped quotes but the actual result as it is stored in the DB does not is completely normal, and it's exactly the reason why you should always make sure to escape quotes in queries.
The backslashes are added to make sure your value doesn't break the syntactical rules of your query: a backslashed single quote is used to signify a single quote where an actual single quote can't be used because it would break the query syntax. Because both you and the DB know this convention, this makes sure that the database can correctly read your value from the query: it will remove the backslashes from the quotes again when parsing the query.
The reason your SQL injection attempt failed (ie. it inserted the exact value as the user entered it rather than breaking the query) is exactly because you have escaped the input with mysql_real_escape_string, and that's a good thing.
Consider how your query looks after having applied mysql_real_escape_string to the user input:
0/5000
Τρέχουσα λειτουργία σας φαίνεται καλό για μένα. Παίρνει ακόμη και το (πολύ συγκεχυμένη) ρύθμιση magic_quotes_gpc υπόψη. Σε περίπτωση που είστε σίγουροι τι magic_quotes_gpc είναι, είναι μια ρύθμιση σε πέσος Φιλιππίνων που αυτόματα ανάστροφες καθέτους όλα user εισαγωγής μεταβλητές (δηλ. τιμές σε $_GET και $_POST $_COOKIE, ως εκ τούτου "gpc"). Στην πραγματικότητα, αυτό το χαρακτηριστικό προστέθηκε σε μια προσπάθεια να αποτραπεί αυτόματα αρχάριους χρήστες του PHP να ενσωματώσει (εν αγνοία τους) SQL ένεση τρύπες στον κώδικα τους. Δυστυχώς, για τους ανθρώπους που ξέρουν τι κάνουν, αυτό είναι ακριβώς μια τεράστια nuissance.Η συμπεριφορά ότι το ερώτημα που έστειλε να σας DB περιέχει δραπέτευσε εισαγωγικά αλλά το απτό αποτέλεσμα όπως είναι αποθηκευμένο στο ΣΠ δεν είναι εντελώς φυσιολογικό, και είναι ακριβώς ο λόγος γιατί θα πρέπει πάντα να είστε βέβαιος να ξεφύγουν εισαγωγικά σε ερωτήματα.Οι ανάστροφες κάθετοι προστίθενται για να βεβαιωθείτε ότι σας αξία δεν σπάει των συντακτικών κανόνων του ερωτήματός σας: ένα ενιαίο απόσπασμα backslashed χρησιμοποιείται για να δηλώσει ένα ενιαίο απόσπασμα όπου μια πραγματική ενιαία προσφορά δεν μπορεί να χρησιμοποιηθεί, επειδή αυτό θα σπάσει η σύνταξη ερωτήματος. Διότι τόσο εσείς όσο και η DB γνωρίζουν την παρούσα σύμβαση, αυτό εξασφαλίζει ότι η βάση δεδομένων μπορεί να διαβάσει σωστά την αξία σας από το ερώτημα: θα αρθούν οι ανάστροφες κάθετοι από τα εισαγωγικά και πάλι κατά την ανάλυση το ερώτημα.Ο λόγος σας SQL ένεση προσπάθεια απέτυχε (δηλ. εισάγεται η ακριβής τιμή, δεδομένου ότι εισάγει ο χρήστης, παρά το σπάσιμο το ερώτημα) είναι ακριβώς επειδή σας έχουν διαφύγει την είσοδο με mysql_real_escape_string, και αυτό είναι ένα καλό πράγμα.Σκεφτείτε πώς το ερώτημά σας φαίνεται αφού έχει εφαρμοστεί mysql_real_escape_string στο χρήστη εισόδου:
Μεταφράζονται, παρακαλώ περιμένετε..
Τρέχουσα λειτουργία σας φαίνεται μια χαρά για μένα. Παίρνει ακόμη και το (πολύ συγκεχυμένη) ρύθμιση magic_quotes_gpc υπόψη. Σε περίπτωση που δεν είστε σίγουροι τι magic_quotes_gpc είναι, είναι μια ρύθμιση στην PHP που αντικάθετοι αυτόματα όλες τις μεταβλητές εισόδου του χρήστη (δηλαδή. Σε τιμές $ _GET, $ _POST και $ _COOKIE, ως εκ τούτου "GPC"). Στην πραγματικότητα, αυτό το χαρακτηριστικό προστέθηκε σε μια προσπάθεια να εμποδίσουν αυτόματα αρχάριους χρήστες PHP για (εν αγνοία τους) ενσωματώνει τρύπες εισαγωγής SQL σε κώδικα τους. Δυστυχώς, για τους ανθρώπους που ξέρουν τι κάνουν, αυτό είναι μόνο ένα τεράστιο nuissance. Η συμπεριφορά ότι το αίτημα που έχει αποσταλεί στην DB σας περιέχει εισαγωγικά διέφυγε, αλλά το πραγματικό αποτέλεσμα που είναι αποθηκευμένα στο ΣΠ δεν είναι απολύτως φυσιολογικό, και αυτό είναι . ακριβώς ο λόγος για τον οποίο θα πρέπει πάντα να σιγουρευτείτε για να ξεφύγουν από τα αποσπάσματα στα ερωτήματα Οι ανάστροφες καθέτους προστίθενται για να βεβαιωθείτε ότι η αξία σας δεν σπάει τους συντακτικούς κανόνες του ερωτήματός σας: ένα ομοιοματικά ενιαίο απόσπασμα χρησιμοποιείται για να υποδηλώσει ένα ενιαίο απόσπασμα όπου μια πραγματική ενιαία η προσφορά δεν μπορεί να χρησιμοποιηθεί, διότι θα σπάσει την σύνταξη ερωτήματος. Επειδή τόσο εσείς όσο και η DB γνωρίζουν αυτή τη σύμβαση, αυτό διασφαλίζει ότι η βάση δεδομένων μπορεί να διαβάσει σωστά την αξία σας από το ερώτημα: θα αφαιρέσει τις ανάστροφες καθέτους από τα εισαγωγικά και πάλι όταν ανάλυση του ερωτήματος. Ο λόγος για απόπειρα εισαγωγής SQL σας απέτυχε (δηλαδή. παρεμβάλλεται η ακριβής αξία καθώς ο χρήστης θα εισαχθεί παρά το σπάσιμο το ερώτημα) είναι ακριβώς επειδή έχετε ξεφύγει από την είσοδο με mysql_real_escape_string, και αυτό είναι ένα καλό πράγμα. Σκεφτείτε πώς το ερώτημά σας φαίνεται αφού ζήτησε mysql_real_escape_string στην είσοδο χρήστη:
Μεταφράζονται, παρακαλώ περιμένετε..
Άλλες γλώσσες
η υποστήριξη εργαλείο μετάφρασης: Klingon, Ίγκμπο, Όντια (Ορίγια), Αγγλικά, Αζερμπαϊτζανικά, Αλβανικά, Αμχαρικά, Αναγνώριση γλώσσας, Αραβικά, Αρμενικά, Αφρικάανς, Βασκικά, Βεγγαλική, Βιετναμεζικά, Βιρμανικά, Βοσνιακά, Βουλγαρικά, Γίντις, Γαελικά Σκοτίας, Γαλικιακά, Γαλλικά, Γερμανικά, Γεωργιανά, Γιορούμπα, Γκουτζαρατικά, Δανικά, Εβραϊκά, Ελληνικά, Εσθονικά, Εσπεράντο, Ζουλού, Ζόσα, Ιαπωνικά, Ινδονησιακά, Ιρλανδικά, Ισλανδικά, Ισπανικά, Ιταλικά, Καζακστανικά, Κανάντα, Καταλανικά, Κινέζικα, Κινεζικά (Πα), Κινιαρουάντα, Κιργιζιανά, Κορεατικά, Κορσικανικά, Κουρδικά, Κρεόλ Αϊτής, Κροατικά, Λάο, Λατινικά, Λετονικά, Λευκορωσικά, Λιθουανικά, Λουξεμβουργιανά, Μαλέι, Μαλαγάσι, Μαλαγιάλαμ, Μαλτεζικά, Μαορί, Μαραθικά, Μογγολικά, Νεπαλικά, Νορβηγικά, Ολλανδικά, Ουαλικά, Ουγγρικά, Ουζμπεκικά, Ουιγούρ, Ουκρανικά, Ουρντού, Πάστο, Παντζάμπι, Περσικά, Πολωνικά, Πορτογαλικά, Ρουμανικά, Ρωσικά, Σίντι, Σαμοανικά, Σεμπουάνο, Σερβικά, Σεσότο, Σινχάλα, Σλαβομακεδονικά, Σλοβακικά, Σλοβενικά, Σομαλικά, Σουαχίλι, Σουηδικά, Σούντα, Σόνα, Ταζικιστανικά, Ταμίλ, Ταταρικά, Ταϊλανδεζικά, Τελούγκου, Τζαβανεζικά, Τούρκικα, Τσεχικά, Τσιτσέουα, Φιλιπινεζικά, Φινλανδικά, Φριζιανά, Χάουσα, Χίντι, Χαβαϊκά, Χμερ, Χμονγκ, τουρκμενικά, γλώσσα της μετάφρασης.
- δικιά σου;
- Τα ονοματα τουσ Μιχαλησ και στελα
- tha to deis?
- Preparation of the extracorporeal system
- Θα το δεις?
- For this reason, the dialysate must meet
- strip_tags is only intended to strip HTM
- Bir büyük olan fazilet cağıral. 32 yaşın
- ελπιζω να σε δουμε απο κοντα και συντομα
- ποτε μην λες ποτε
- dializzato
- έκανα λάθος μετάφραση συγνώμη
- κι εγω λιγο
- ποτε μην λες ποτε
- Λέγω ὅτι πολλαί καί καλαί ἐλπίδες ἡμῖν ε
- δικιά μου;
- κι εγώ λίγο
- MARRY ME
- is mine?
- ΘΑ ΤΟ ΣΚΕΦΤΩ
- Qepe
- Εχει δυο παιδια
- θα μου στείλεις και μια δικιά σου;
- Αναγέννηση
