Witam.

Ostatnio przejrzałem sobie artykuł o zabezpieczeniach i mam kilka pytań.

Do zabezpieczeń przed skrzyknięciem kodu SQL wykorzystuje się: mysql_escape_string, mysql_real_escape_string, addslashes. Z tego co widzę po warningach mysql_escape_string jest zastąpiony przez mysql_real_escape_string. Jaka jest różnica między tymi trzema funkcjami ? Czy to tylko kwestia gustu, którą sobie wybiorę ? bo jeśli tak to chyba addslashes jest najlepsze, bo najkrótsze w zapisie

Kolejna sprawa co lepiej wykorzystać, gdy spodziewamy się liczby ? Zapis (int) czy intval ?

Teraz kwestia szyfrowania. Większość wykorzystuje md5, ale jest w MYSQL funkcja PASSWORD, np.

[SQL] pobierz, plaintext 
INSERT INTO tabela (kolumna) VALUES(PASSWORD($haslo))
[SQL] pobierz, plaintext 

Co jest lepsze ?

O tych wynalazkach kompletnie zapomnij, bo niedługo umrą. Zobacz jak wygląda PDO/MySQLi


http://stackoverflow.com/questions/1912599...-intval-and-int


http://forum.php.pl/index.php?showtopic=230279&st=0
Pod koniec strony jest trochę o tym

Dzięki za odpowiedź.

Korzystam z klasy mysqli, ale chodzi o to, że w zapisie np.

[PHP] pobierz, plaintext 
$db->query($sql);
[PHP] pobierz, plaintext 

metoda query ma już już zabezpieczenia przed skrzyknięciem ? czy mysqli ma jakąś metodę ala addslashes ?

Dla potomnych. Strona Manuala do PHP to http://php.net

http://pl1.php.net/manual/en/mysqli.real-escape-string.php