21.03.2017, 16:04
db_escape e folosit pentru a impiedica SQL injection. Dar daca eu am scriptul asa:
%s e pus intre ghilimele, deci nu mai poti sa iti pui numele 'x OR 1=1'. Mai trebuie db_escape acum?
Code:
"SELECT * FROM users WHERE name = '%s' LIMIT 0, 1"