ali reza mansoori 2
چهارشنبه 22 مرداد 1393, 14:15 عصر
سلام دوستان
یه مقدار دارم که توسط GET باید ارسال بشه و داخل صفحه ای که دریافتش میکنم یه کوئری اجرا میشه
"`profi` LIKE %" . quote_smart($_GET['text']) . "%)"
و تابعی که استفاده میکنم این هستش
function quote_smart($value){ if(!is_numeric($value)) { if(get_magic_quotes_gpc()) $value = stripslashes($value); return "'" .mysql_real_escape_string($value) . "'"; } else return $value; }
خروجی مثل زیر میشه که اشکال داره
%'salam'%
حالا سوال من اینه که وقتی که دارم از LIKE در دستورات SQL استفاده میکنم و در کد نویسی دو طرف مقدار ورودی % اضافه میکنم نیازی هست که از تابع quote_smart استفاده کنم یا نه
برای امنیت مشکلی پیش نمیاد
یه مقدار دارم که توسط GET باید ارسال بشه و داخل صفحه ای که دریافتش میکنم یه کوئری اجرا میشه
"`profi` LIKE %" . quote_smart($_GET['text']) . "%)"
و تابعی که استفاده میکنم این هستش
function quote_smart($value){ if(!is_numeric($value)) { if(get_magic_quotes_gpc()) $value = stripslashes($value); return "'" .mysql_real_escape_string($value) . "'"; } else return $value; }
خروجی مثل زیر میشه که اشکال داره
%'salam'%
حالا سوال من اینه که وقتی که دارم از LIKE در دستورات SQL استفاده میکنم و در کد نویسی دو طرف مقدار ورودی % اضافه میکنم نیازی هست که از تابع quote_smart استفاده کنم یا نه
برای امنیت مشکلی پیش نمیاد