Спасибо за ответ!

За статью + автору... но после просмотренного выше никто и не упомянул о сессиях... да бы спешу предупредить, что как бы не был построен сервер и защищал бы файлы сессии, то с уверенностью могу сказать что... они также могут подвергаться атакам извне, особенно, если ваш сайт лежит рядом с псевдосайтом злоумышленника, который, также, в свою очередь, может делать попытки взлома...

Всего не опишешь в одной статейке.... Я сразу говорил - это затея не очень что бы... Просто основы только. Но про сессии и куки допишу на досуге, раз такой интерес.
Сеньк.

_____________
Если вам недостаточно собственных заблуждений, можно расширить их мнениями экспертов.

Нужно уважать мнение оппонета. Ведь заблуждаться - его святое право.

Настаивал, настаиваю и буду настаивать на своем. На кедровых орешках.

twin
да да будет все интересно... даже мало важные моменты... так сказать для расширения кругозора... а его в php ну ой как надо....

twin, спасибо...открываются глаза на мир

_____________
Пусть хвалит тебя другой, а не уста твои, - чужой, а не язык твой.

Поумнел за пол часа, а сколько суеты было... Гора с плеч! Дело, как всегда, в мелочах, которые не везде так подробно, щедро и по доброму разжеваны да в рот с ложечки положены. По существу все атаки основаны на одних и тех же принципах по сути своей ламерских и ничего сверх умного в них нет - 'акробатические трюки', не более.
Наконец снизошло прозрение и я увидел свет! Огромное спасибо за это Твину и форуму. Без ваших упорных тыканий носом в кал яб еще долго блуждал в потемках.

спасибо, буду хоть знать как это бывает...

Я тоже искал ответы и наткнулся на тему. И читая появился вопрос, а именно

с первой страницы----
-----------------------------------------
Литеральные константы обрамлять апострофами и обрабатывать функцией mysql_real_escape_string() непосредственно в самом запросе.
---------------------------------------------------

почему то я буквально понял что рекомендуется обработка именно в самом запросе. А если переменных много, не слишком сложен будет запрос??

Есть ли отличия в плане безопасности, если я обработаю переменную прямо перед запросом или в теле запроса???

1. $login=mysql_real_escape_string($login);
SELECT * FROM `table` WHERE `id`=' ".$login." ';

2. SELECT * FROM `table` WHERE `id`=' ".mysql_real_escape_string($login)." ';

_____________
Достучаться до небес.

yok
Нет отличий. А запрос от использования экранирующих функций сложнее не станет.

Если перед, то тогда лучше так:

$login="'". mysql_real_escape_string($login) ."'";
"SELECT * FROM `table` WHERE `id`=".$login;

это надежнее, чем твой вариант. Но я бы не советовал. Лучше прям в запросе. Нет лишних перезаписей и по пути ничего измениться не может.

_____________
Если вам недостаточно собственных заблуждений, можно расширить их мнениями экспертов.

Нужно уважать мнение оппонета. Ведь заблуждаться - его святое право.

Настаивал, настаиваю и буду настаивать на своем. На кедровых орешках.

такой статье почётное место в закладках!... что и сделано.

_____________
HTML, CSS (Bootstrap), JS(JQuery, ExtJS), PHP, MySQL, MSSql, Posgres, (TSql, BI OLAP, MDX), Mongo, Git, SVN, CodeIgnater, Symfony, Yii 2, JiRA, Redmine, Bitbucket, Composer, Rabbit MQ, Amazon (SQS, S3, Transcribe), Docker

Спасибо twin,
интересно получается

---------------------------------------------------
$login="'". mysql_real_escape_string($login) ."'";
------------------------------------

Я конечно смутно понимаю, но думаю если есть замечание, значит есть опыт какой то.

Спасибо.

Ой, выше это был я , оказывается и не зарегистрированный может написать.

$login=" ' ". mysql_real_escape_string($login) ." ' ";
подправил для наглядности, вверху все кавычки в кучу.

Если можно пару строк именно о таком подходе, или пример, может опыт.
Было бы замечательно.

_____________
Достучаться до небес.