אבטחת מידע, 2 שאלות וקצת עזרה

[SniR-S]

שאלה, לכל משתנה שנשלח לשאילתא אני אמור להצמיד הפונקציה mysql_real_escape_string ?
ומה עם שאילתות שאני מוציא? (שולח מהשרת למשתמש)
אגב לא הבנתי כ"כ את הפונקציה, הבנתי שהיא מסננת ירידת / שבירת שורה
מספרים הקסדצימלים, גרש וגרשיים מה זה אבל x1a ?, ואיך אני משתמש בה?
בצורה הזו זה בסדר?:

PHP קוד:

real_escape_string($name);
// או שאני חייב משתנה?
$name = real_escape_string($name); 


[Shillo]

ציטוט:

נכתב במקור על ידי Snir Shamka

שאלה, לכל משתנה שנשלח לשאילתא אני אמור להצמיד הפונקציה mysql_real_escape_string ?
ומה עם שאילתות שאני מוציא? (שולח מהשרת למשתמש)
אגב לא הבנתי כ"כ את הפונקציה, הבנתי שהיא מסננת ירידת / שבירת שורה
מספרים הקסדצימלים, גרש וגרשיים מה זה אבל x1a ?, ואיך אני משתמש בה?
בצורה הזו זה בסדר?:

PHP קוד:

real_escape_string($name);
// או שאני חייב משתנה?
$name = real_escape_string($name); 


x1a אני לא בדיוק יודע, אבל אני יודע שזה ברשימת התווים המסוכנים של הSQL.

בקשר לקוד שכתבת, אם תכתוב רק real_escape_string($name); זה לא טוב, כי הפונקציה לא עובדת עם רפרנס והיא רק מחזירה ערך, זאת אומרת שאתה צריך לעבוד בצורה כזו:

קוד:

// סתם דוגמא, אתה יכול לשים פה מה שאתה רוצה
$name = $_GET['name'];
// אם אתה משתמש בפונקציה שלי
$name = real_escape_string($name);