Добрый день господа,
вот сегодня возникли в оффисе дебаты об инъекция в SQL, и я настаиваю на своем а именно:

Никогда никто не добавит инъекцию и ваш SQL, если вы каждное значение как минимум будите пропускать
через функции addslashes и при вставке в запрос брать в кавычки!!!


Что вы думаете по этому поводу?

Hettа если я обратный слеш напишу, то он заэкранирует слэш который экранирует кавычку?

addslashes - заэкранирует это слэшь, т.е. придет не \ а \\ и далее будет взято в кавычки.

ScareCrowполная фигня!!!11111

Есть ли что то более существенное чем единички.

r uOracle,

пока вы колбасите чтото свое, где все можете контролировать - возможно волноваться нечего.
а когда делаете или поддерживаете уже готовые проекты с наследием разной степени запущенности - применение нужных инструментов в соответсвующих местах избавляет от многих проблем в будущем.

зачем использовать везде addslashes когда сами разработчики говорят вам - пользуйтесь СПЕЦИАЛЬНО созданными для этого функциями.
а лучше начните уже юзать чтото типа PDO - и описанные вами проблемы вообще вас больше волновать не будут.


Я согласен, что ПДО сейчас рулит, но просто спор зашел о том что все инъекции одной всего лишь фунцией можно порубить.

Всем спасибо.