Czytałem o sql injection dosyć sporo i po lekturze tego wszystkiego, trochę zaczęło mi się mieszać. Na jednej stronie było napisane żeby używać addslashes();
, na innej żeby nie. Jeszcze inne popierały escapowanie (nie wiem do końca co to znaczy), inne że nie.
Zmęczony tym napisałem swoją funkcję, która zwraca z argumentu tylko litery.
function return_str($str)
{
$temp = '';
for($i=0; $i<strlen($str); $i++)
if (ctype_alpha($str[$i])) $temp = $temp.$str[$i];
return $temp;
}
Czy jeżeli za każdym razem zamiast $_GET['var'];
będę używał return_str($_GET['var']);
to uniemożliwię sql injection?