Подготовка параметров для выполнения SQL-запроса
Кусочек кода на PHP для памяти... ещё один вариант "таблетки" от SQL-инъекций и т.п.
// функция проводит подготовку переданных параметров для // выполнения sql запроса. Выполняется в целях безопасности, для // предотвращения атаки типа SQL injection function prepare_param($param) { return preg_replace("/[^a-zA-Z0-9 ]|insert|delete|update/i","",$param); } // приведение переданного параметра к строго строковому типу // используя регулярные выражения function mystring($st) { if(!preg_match("|^[^\']+$|",$st)) $st="wrong"; return $st; } // проверка переданной строки на соответствие формату email адреса // используя регулярные выражения function myemail($st) { $st=strtolower($st); if(!preg_match("|^[0-9a-z_]+@[0-9a-z_^\.]+\.[a-z]{2,6}$|i",$st)) $st="wrong"; return $st; } // функция проводит подготовку переданных параметров для // выполнения sql запроса. Выполняется в целях безопасности, для // предотвращения атаки типа SQL injection. Отличается от функции // function prepare_param($param) function prepare($st) { $st = htmlspecialchars($st); $st = strip_tags($st); $st = mysql_real_escape_string($st); return $st; }
06.10.2009, 13:51 [8977 просмотров]