SQL Inj: addslashes & magic_quotes

yawn · 3 Giugno 2010

ho una domanda quasi certamente idiota ma che mi ronza in testa da un po'... avendo magic_quotes_gpc: on e una query in PHP del tipo

PHP:

mysql_query("select * from table where id='".addslashes($id)."'")

alla variabile $id non vengono aggiunti due backslashes che annullano la protezione?
appena torno a casa ci provo ^.^

sperando di non aver detto qualche ca22ata xD

bye

yawn

meh. · 3 Giugno 2010

Codice:

> echo addslashes('\"');
\\\"

yawn · 3 Giugno 2010

epic fail ='(
eppure l'avevo anche letto da qualche parte googlando O:

Robertof · 3 Giugno 2010

In ogni caso fai un controllo nel caso magic_quotes_gpc Ã¨ abilitato (c'e' una funzione apposita), in esito positivo allora non usare addslashes SE stai operando con dei dati $_POST/GET

yawn · 5 Giugno 2010

nono vabbe' Robertof quello lo sapevo.. la mia era solo una curiosita' se si poteva bypassare addslashes ma mi pareva strano infatti xD... vabbe' che da php 6.0 magic_quotes non c'e' piu'
thx anyway

yawn

Cerca

SQL Inj: addslashes & magic_quotes

yawn

meh.

yawn

Robertof

yawn

DISCUSSIONI SIMILI