Возможный дубликат:
Лучший способ защиты от внедрения mysql и межсайтового скриптинга
Как включить переменную PHP в инструкцию вставки mysql
Мне было интересно, сталкивался ли кто-нибудь с оператором stripslashes при получении текста из поле пароля, и есть ли способ выполнить SQL-инъекцию в этом случае?
то есть на языке PHP вы можете получить текст из поля пароля веб-сайта и передать его через оператор stripslashes, чтобы удалить любой ('), так что (' OR 1=1 --
) станет (OR 1=1
). И делает SQL-инъекции сложными.
' OR 1=1 --
остается' OR 1=1 --
... - person Konerak   schedule 07.04.2012