[MySQL+PHP] Zabezpieczenie przed atakiem

0

Witam.
Chciałem się troche douczyć na temat MySQL+PHP(jak zabezpieczyć dobrze swoją przyszłą stronke).
Mianowicie istnieją dość popularne błędy np. przebicie się przez '.
I tego właśnie nie kumam. Na pewnej stronie ten błąd był i teraz chciałem sobie go zasymulować na mojej stronie.

$zapytanie = "SELECT.... WHERE uzytkownik = '".$_POST['test']."'";

Na niektórych stronach ostrzegają aby tak nie robic, a przed zapytaniem wywalić złośliwe znaki z $_POST['test'];
Sęk w tym że gdy wpisze znak ' to automatycznie zamienia się on na \'.
Dlaczego?
Troche głupie by to było gdyby serwisy z tymi błędami specialnie zmieniały \' na ' a poźniej się dziwią że ktoś użył takiego ataku :|

na razie używam program WAMP5 na swoim kompie.

0

Zamienia się bo włączone jest magic_quotes. Samo dodaje \ przed ' i inne znaki. W php6 ma zniknąć, bo stwarzało więcej problemów niż wnosiło korzyści.

Ja osobiście zawsze kasuje wynik działania magic_quotes, bo po prostu tego nie chce. Wolę sam zabezpieczyć dokładnie te dane, które chce.

1 użytkowników online, w tym zalogowanych: 0, gości: 1, botów: 0