http://ca3.php.net/magic_quotes
я отправляю");--
из поля ввода на мой PHP-сервер localhost, он автоматически преобразует его в
\ "); -
Это кажется великолепным, за исключением того, что я не знаю, насколько заслуживает доверия это поведение. Хотя кажется, что он избегает SQL-инъекций, моя среда разработки не совпадает с производственной средой, и я боюсь, что производственная среда может не иметь такой защиты автоматически активированной ...
Почему PHP делает это (преобразовать ввод без использованияmysql_real_escape_string
)? Является ливсегда сделать это или только с определенными расширениями? Безопасно ли полагаться на это поведение для предотвращения SQL-инъекций?