Мой первый проект )), оцените

$id= '1 union select * from users';
$result=mysql_query("select * from users where user_id=" . mysql_real_escape_string($id) . "");

ОПять таки дайте определение MySQL-инъекцие

arvitaly

MySQL-инъекция - страшная хрень, состоящая из определенного набора символов, которую вводит злой хацкер с целью навредить ресурсу (украсть данные, удалить данные, попортить их структуру и т.п.), и нарушающая в итоге логику SQL-запроса..
как-то так

Правда непонятно куда вводит, ну тогда как видишь mysql_real_escape_string не является абсолютной защитой.
Главное - правильное определение и грамотный вопрос (может он и не возникнет тогда)

Тут читай

Michael
читал уже два раза, сейчас третий перечитал - изменений не обнаружил по сравнению с прошлым разом.
очень хорошая статья, но twin упоминает только об апострофах, но про -- , /* и ; ничего там не сказано.. Хотя ; я так понимаю в mysql не катит, а вот что насчет комментариев (-- , /* */) ? Потому как паранойя у меня (надеюсь здоровая)...

А почему ; не катит?

DmitryOpalev
потому как не прокатывают запросы такого вида, насколько я знаю

SELECT * FROM `table`; DELETE FROM `table`

хотя может я и ошибаюсь... В общем, ждем комментарии от экспертов по этому поводу

А насколько я знаю, так можно делать
Хотя, никогда так не делал, кто знает

На сколько я помню не прокатят со стандартным phpшным расширением mysql. Расширения mysqli и postgre вроде отрабатывают.

Вот откопал цитату из книжки, по которой я учусь (Д.Котеров, А.Костарев. PHP 5 в подлиннике.)

kirik
А что насчет комментариев? Не подскажешь?

Там в чате писал уже.
Люди, читайте чаще php.net там все написано (а если не все в тексте, то в комментах точно будет). Смотрим mysql_real_escape_string():

Тоесть эта функция экранирует только символы \x00 (злостный нуллбайт), \n (перенос строки), \r (возврат каретки), \ (обратный слэш), ' (апостроф), " (кавычка) и \x1a (че-то). На все остальные символы ей глубоко наплевать.

А по поводу коммента. Прикинем логически: если у нас запрос:

SELECT * .... WHERE `id` = $_GET[id]

то тут конечно коммент станет частью SQL запроса, пройдет и отработается mysql'ом. Но стоит заключить переменную в апострофы:

SELECT * .... WHERE `id` = '$_GET[id]'

как опасный коммент станет лишь текстом для SQL и база не обратит на него никакого внимания. (это же верно и для -- и для ;)

Invis1ble

Там много о чем не сказано... Ты вот увидел, что комментариями можно накуралесить и паника. А я вот тебе еще сейчас подкину:

' OR 1='1

И еще много чего есть... Если будешь циклиться на каждом частном случае - жизни не хватит.

Главное правильно обработать данные, тогда можно не думать об этих опасностях.
Как - я написал в статье. И поверь, этого достаточно.

twin
спасибо, в принципе я все обрабатываю, как ты описывал. Просто тут товарищ один подал повод для паники, а у тебя там не было указано про комменты - вот я и выпал на измену...

Не надо этого делать. В базе храниться число и сравнивать его нужно с числом, а не пихать апострофы из за боязни.