Форум MySQL

Скрипт авторизации. Там такой запрос:
$query = mysql_query("SELECT * FROM `users` WHERE `username` = '".$username."'");
Если в поле логин ввести Admin'/* , то логин будет считаться как admin а не admin'/*
Вот я гадаю. Дырка это или нет? И как закрыть такое.

ЗЫ думал куда тему создать. решил в php. все же запрос в php скрипте

Да, это дыра.

<?php if(!get_magic_quotes_gpc()) { $username = mysql_escape_string($username); } ?>

здесь не нужен if(!get_magic_quotes_gpc())

А как надо?

Кстати можно поподробней про get_magic_quotes_gpc.
Её надо использовать перед добавлением в таблицу или перед выводом на экран?

Надо не путать прием входных параметров и формирование запроса.

Подробнее можно.
Например здесь.
http://phpfaq.ru/slashes

>Её надо использовать перед добавлением в таблицу или перед выводом на экран?
её надо применять для проверки на искажения в процессе приема входных параметров.

здесь не нужен if(!get_magic_quotes_gpc())
Huh?

get_magic_quotes_gpc (вкупе со stripslashes) нужен при первичной обработке входных параметров.
То есть элементов суперглобальных массивов $_GET, $_POST, $_COOKIE, $_REQUEST.
И только.

Даже не знаю что тут сказать.

Вы предлагаете

<?php     if(get_magic_quotes_gpc())     {     $_GET = array_map("stripslashes", $_GET);     } ?>

А я фактически написал

<?php     if(!get_magic_quotes_gpc())     {     $_GET = array_map("mysql_escape_string", $_GET);     } ?>

Конечно, мой код явно настроен на то, что переменные будут использоваться в MySQL-запросах. Вы из-за этого начали спор?

Если а) переменные получены из входных параметров (а в оригинальном коде этого не видно) и б) переменные будут использоваться в процедурах ручной сборки литеральных констант MySQL-запросов и только в них, тогда да, код справедлив. Если хотя бы одно из условий нарушается - извините.

Конечно. Но какой-то бесполезный спор.

Вот почитал всякие статьи и решил сделать так:
$query = mysql_query("SELECT * FROM `users` WHERE `username` = '".mysql_real_escape_string($username)."'");
Только не уверен на счет real_escape может лучше без real ?

Переменные получаются из формы переданной с другой страницы методом POST (обычная форма авторизации).

mysql_real_escape_string() экранирует спец. символы в зависимости от кодировки, с которой в данный момент работает MySQL.

Меня вопрос мучает давно про эту функцию: разве коды всяких символов ' % /* -- \ в разных кодировках разные?

Если применяется кодировка не UTF-8, а UCS2 например, то байты, представляющие кодовые эквиваленты этих символов, могут встретиться среди других символов (на нечетных позициях, или на четных, при ненулевом старшем байте)

Для UTF-8 разницы нет.

Понятно, типа утф-32.

utf-32 - разве не подканал utf-8?

Тогда какой способ лучше использовать? С real или нет?

с какой кодировкой?

По моему у меня usf-8 стоит.
А с другими ? Или это влияет только при смене сервера?

я такой не знаю.
Если чего-то опасетесь некорректной работы с нестандартными соединениями - применяйте mysql_real_escape_string .
Если хотите меньше геморроя - применяйте обычную.

Ой кнопочкой промахнулся. UTF-8 кодировка. Так в phpmyadmin написано.
Ладно пока реал оставлю потом если что сменю. Спасибо.

в sql это (/*) комментарий кажется, все что после него не учитывается