Hej!
Har tidigare kört med mysql_real_escape_string(), men det är så jävla långt att skriva varje gång.. Fick detta exempel av någon för ett par dagar sedan.. hur pass säkert är det egentligen?
$SQL = "SELECT * FROM blabla WHERE id = {$_GET['fisk']}";
Alltså, kan man helt enkelt bara använda måsvingar och vad gör dom för nytta?
addslashes() funkar också men är ett mindre säkert alternativ.
Citat:
php.net/addslashes Returns a string with backslashes before characters that need to be quoted in database queries etc. These characters are single quote ('), double quote ("), backslash (\) and NUL (the NULL byte)
mysql_real_escape_string tar alltså bort fler tecken.
Tar bort tecken som: \x00, \n, \r, \, ', " och \x1a.
Låter lite "petigt" men kan vara bra att ha som regel att alltid köra med mysql_real_escape_string