Статус:
Offline
Реєстрація: 11.06.2009
Повідом.: 424
Реєстрація: 11.06.2009
Повідом.: 424
PHP обман str_replace
В общем есть на серве функция str_replace которая нацелена на удаление символа ' из значения логина, логин прямиком летит в MySQL и надо этот запрос изменить. Вот примеры работы:
Логин: test
sql_query: select log_id from table where login='test'
Логин: test'
sql_query: select log_id from table where login='test'' //ошибка, это нам и надо но.....
Логин: test'; --
sql_query: select log_id from table where login='test\; -- ' //кавычка убита и заменена на слеш
Я в этом не особо шарю, как представить кавычку чтоб обойти функцию? Или какие есть альтернативы в изменении SQL запроса?
ПыСы: я ничего не ломаю, всё идет на лок. компе для учебы
В общем есть на серве функция str_replace которая нацелена на удаление символа ' из значения логина, логин прямиком летит в MySQL и надо этот запрос изменить. Вот примеры работы:
Логин: test
sql_query: select log_id from table where login='test'
Логин: test'
sql_query: select log_id from table where login='test'' //ошибка, это нам и надо но.....
Логин: test'; --
sql_query: select log_id from table where login='test\; -- ' //кавычка убита и заменена на слеш
Я в этом не особо шарю, как представить кавычку чтоб обойти функцию? Или какие есть альтернативы в изменении SQL запроса?
ПыСы: я ничего не ломаю, всё идет на лок. компе для учебы