30-05-2009, 21:00
|
מנהל
|
|
חבר מתאריך: 26.07.08
הודעות: 6,473
|
|
אני חושב שכן, שזה לא חוסם את כל האפשרויות
עדיף שתשתמש ב- mysql_real_escape_string.
הכי עדיף שתעביר את כל הפרמטרים\מידע שאמור להיות מוזרק לשאילתות דרך sprintf לאחר שעברו סינון בתוך מחלקת ה-DB.
אני עושה זאת בצורה הבאה:
קוד PHP:
<?php
class face_mysql
{
public function query($query_str, $params=array())
{
$params = array_map(array($this, 'filter'),$params);
$query_str = vsprintf($query_str, $params);
mysql_query($query_str);
}
public function filter($str)
{
// return ...
}
}
?>
|