Forum PHP.pl

Jest to przykładowy kod wyciągający z mysql dane… Czy stosując wyłącznie
mogę być bezpieczny, że komuś nie uda się wyciągnąć innych danych z tabeli articles?

[PHP] pobierz, plaintext 
<?php
 
$id = (int)$_GET['id'];
 
$sql = mysql_query("SELECT text FROM articles WHERE id = '$id'");
$query = mysql_fetch_array($sql);
$text = $select['text'];
 
 
?>
[PHP] pobierz, plaintext 

Wiem, że istniej o tym całkiem obszerny temat, ale tam odpowiedzi są różne (IMG:http://forum.php.pl/style_emoticons/default/biggrin.gif)

Ten post edytował Hectic 19.05.2006, 18:14:54

Możesz być pewien:
$sql = mysql_query( "SELECT `text` FROM `articles` WHERE `id` = '$id' " );
Tak w ramach estetyki (IMG:http://forum.php.pl/style_emoticons/default/winksmiley.jpg)

[PHP] pobierz, plaintext 
<?php
 
 
$sql = mysql_query("SELECT text FROM articles WHERE id = '$id'");
$text = mysql_result($sql, 0);
mysql_free_result($sql);
 
// $text to twój tekst
 
?>
[PHP] pobierz, plaintext 

Dzięki (IMG:http://forum.php.pl/style_emoticons/default/smile.gif) , a co do tych średników czytałem gdzieś, że to tylko spowalnia wykonywanie skryptu i jest to zbędne. (IMG:http://forum.php.pl/style_emoticons/default/worriedsmiley.gif)

Pamiętaj o zwalnianiu wyników i zamykaniu wszelkich połączeń, powodzenia (IMG:http://forum.php.pl/style_emoticons/default/aarambo.gif)

bez srednikow w ogole nie uruchomisz skryptu...

chodzilo mu raczej o ' '

[PHP] pobierz, plaintext 
<?php
$sql = mysql_query("SELECT text FROM articles WHERE id = '$id'");
?>
[PHP] pobierz, plaintext 

jesli $id to int to powinni byc

[PHP] pobierz, plaintext 
<?php
$sql = mysql_query("SELECT text FROM articles WHERE id = $id");
?>
[PHP] pobierz, plaintext 

a najlepiej

[PHP] pobierz, plaintext 
<?php
$sql = mysql_query('SELECT text FROM articles WHERE id = '.$id);
?>
[PHP] pobierz, plaintext 

Tak chodziło mi o to :roll2: Dzięki za pomoc (IMG:http://forum.php.pl/style_emoticons/default/winksmiley.jpg)