[php] addslashes vs. [x]_real_escape_string, Pytania techniczne dotyczące dodawania ukośników :) Opcje

[Jen]

Moje pierwsze pytanie dotyczy różnicy pomiędzy funkcjami addslashes oraz [x]_real_escape_string (bo lepiej użyc [x]_real_escape_string zamiast [x]_escape_string?). Chcę przygotować dane do zapisania w bazie i nie wiem której funkcji użyć? Np:

[PHP] pobierz, plaintext 
<?php
$dane = "cos ' \" dewd";
if(get_magic_quotes_gpc()==false) {
   $dane = mysql_real_escape_string($dane); // czy $val = addslashes($val); ?
}
zapytanie = "UPDATE costam..." ;
?>
[PHP] pobierz, plaintext 

Mam również drugie pytanie:) Załóżmy, że na serwerze wyłączone są magic quotes. Sprawdzone to zostanie w skrypcie za pomocą get_magic_quotes_gpc(). Zatem używając funkcji addslashes dane w bazie zapiszą się z ukośnikami, tak? Czyli aby je później poprawnie wyświetlić będzie trzeba użyć stripslashes() (wcześniej ponownie sprawdzając warunek czy magic quotes są wyłączone)? A co jeżeli w tym czasie administrator na serwerze włączy magic quotes? "W tym czasie" czyli po zapisaniu do bazy, ale przed odczytem? o_O Bardzo proszę o wyjaśnienie tego zagadnienia. Z góry dziękuję.

Pozdrawiam:)

[Hazel]

No jeśli dobrze Cię rozumiem, to masz zamiar za pomoca get_magic_quotes_gpc() sprawdzać przed zapytaniem, czy magiczne cudzysłowy są włączone, i wywolywać stripslashes() jedynie wtedy, gdy są wyłączone... W takim przypadku nie grozi Ci to, że wyświetlisz dane z ukośnikami, bo skrypt automatycznie oleje Ci stripslashes() jeśli get_magic_quotes_gpc() zwróci Ci true...

[Jen]

Dzięki @Hazel za odp:)

Tak, o tym wiem i po to jest tam warunek. Ale lepiej w tym przypadku użyć addslashes czy mysql_real_escape_string? Czy te funkcje robią dokładnie to samo?

Ten post edytował Jen 6.09.2007, 19:40:40