Подскажите, есть запрос
$id = "value"; // значение переменная получает методом POST
$query = mysql_query("SELECT * FROM `table` WHERE `id` = '".$id."'");
Т.е. значение переменной приходит из формы, и вопрос: может ли переменная принять какое-либо значение которое может нанести вред MYSQL, или еще что-то сделать не то что надо)?
Или вред может получиться если записывать в БД, и в каких вообще запросох может получиться БЯКА?
Спасибо!
Спустя 34 минуты, 59 секунд (29.11.2010 - 21:07) vagrand написал(а):
Может. Читайте про SQL инекции. А для вашего случая приводите переменную $id к цеочисленному типу
$query = mysql_query("SELECT * FROM `table` WHERE `id` = '". (int) $id."'");
Спустя 2 часа, 19 минут, 45 секунд (29.11.2010 - 23:27) inpost написал(а):
_____________
http://flibro.com/