Добро пожаловать, Гость!
Прошу чуток объянить
Общие вопросы | Прошу чуток объянить
DomenTK 
: Прошу чуток объянить
6 Янв 2014Какие из этих запросов вредоносные
1. mysql_result(mysql_query("SELECT COUNT(*) FROM `comm_forum_komm` WHERE$skp `id_comm` = '$comm[id]' AND `id_topic` = '$post[id]'"),0)
2. mysql_query("SELECT * FROM `comm_forum` WHERE `id_comm` = '$comm[id]' AND `type` = 'topic' AND (`name` like '%".mysql_escape_string($q_search)."%' OR `msg` like '%".mysql_escape_string($q_search)."%') ORDER BY `time` DESC LIMIT $start, $set[p_str]")
3. mysql_fetch_array(mysql_query("SELECT * FROM `comm_forum_komm` WHERE$skp `id_comm` = '$comm[id]' AND `id_topic` = '$post[id]' ORDER BY `time` DESC LIMIT 1"))
4. mysql_query("INSERT INTO `comm_forum_komm` (`id_comm`, `id_user`, `id_topic`, `time`, `msg`) values('$comm[id]', '0', '$topic[id]', '$time', 'А вот и я! Тему ".($locked==1?"закрыл":"открыл")." модератор $user[nick].')")
И для их обезопасения достаточно будет прописать к ним mysql_real_escape_string?
Комментарии:
DomenTK 6 Янв 2014Автор темы
Genocide, А я вот ещё сделал как
$test=mysql_query("INSERT бла бла");
$test=mysql_fetch_array($test); Ничё так?
И ещё:
А если бы в $skp было бы что-нибудь, то что?
Engine 
6 Янв 2014Ну тогда все нормально. Единственное нужно mysql _ escape_string заменить на mysql_real_escape_string
$skp=' ';
