Форум PHP

А если даже внешние, то не факт, что очистка массивов от magic quotes к моменту обращения к БД уже не была проведена.

Потому что не факт, что это внешние данные.

Почему? Многие кстати, именно этот способ пропагандируют - он более безопасен в плане повторного экранирования.

>if (get_magic_quotes_gpc()) $v = stripslashes($v);
убило наповал

Не моглибы помочь составить функцию которая будет фильтровать строку чтоб потом её можно было безопасно использовать при SQL запросе?

Из всего вышеприведенного реальную пользу можно получить вот от этого (даже догадываюсь, откуда этот код... :) :

function db_make_query()     {         $tml = $this->args;         $tml[0] = str_replace('%', '%%', $tml[0]);         $tml[0] = str_replace('?', '%s', $tml[0]);         foreach ($tml as $i => $v)         {             if (!$i) continue;             if (is_int($v)) continue;             if (get_magic_quotes_gpc()) $v = stripslashes($v);             $tml[$i] = "'" . mysql_real_escape_string($v,$this->connect) . "'";         }         for ($i = $c = count($tml) - 1; $i < $c + 20; $i++)         {             $tml[$i + 1] = "UNKNOWN_PLACEHOLDER_$i";             return call_user_func_array("sprintf", $tml);         }     }

Правда этот код еще нужно "почистить".

Только зачем эту функцию реализовывать через класс и методы? Можно было просто написать эту функцию отдельно и потом подключать. Вот именно она-то и может помочь защититься от SQL-вставок...

Скока раз уже говорили: класс для БД нужно разрабатывать так, чтобы он мог работать с разными БД (MySQL, PostgreSQL и др.)...
Только тогда он имеет смысл. Зачем писать просто обертки для стандартных функций PHP? В них нет никакого смысла и уж тем более удобства.

>Хотел поделится хорошим классом для работы с MYSQL

http://php.net/mysqli

Для начала следует убрать вот эту строку

if (get_magic_quotes_gpc()) $v = stripslashes($v);

Предложи что лучше. Я же не просто так создал тему в помощь молодежи, а чтоб узнать что есть получше.

[поправлено модератором]