function safe_query($query="") {
if(stristr(str_replace(' ', '', $query), "unionselect")===FALSE AND stristr(str_replace(' ', '', $query), "union(select")===FALSE){
if(empty($query)) return false;
if(DEBUG == "OFF") $result = mysql_query($query) or die('Query failed!');
else {
$result = mysql_query($query) or die('Query failed: '
.'<li>errorno='.mysql_errno()
.'<li>error='.mysql_error()
.'<li>query='.$query);
}
return $result;
}
else die();
}
Спустя 6 минут, 40 секунд (20.11.2009 - 03:50) kirik написал(а):
По-моему это какая-то хрень..
Спустя 1 минута, 37 секунд (20.11.2009 - 03:52) DeeKeiD написал(а):
почему ? 
это из движка webspell
это из движка webspell Спустя 17 минут, 1 секунда (20.11.2009 - 04:09) kirik написал(а):
| Цитата (DeeKeiD @ 19.11.2009 - 19:52) |
| это из движка webspell |
Тогда это ужасная хрень
Чем же эта функция такая прям "safe"..?
Когда всё прогрессивное человечество использует для запросов к БД специальные классы и плэйсхолдеры для удобства в работе и предотвращения инъекций, программисты из webspell создают "safe_*" функции в надежде на "Как судно назовешь, так оно и поплывет"
_____________
Бесполезно просить пощады у цезаря
Фатальная ошибка : Звонок в неопределенную функцию ©