Administrace komentářů

1.) http://forum.root.cz/index.php?topic=9790.0 (hlavne ten prý odsek)

2.) je to môj kód v ktorom sa hrabem výlučne ja, čiže viem o každej premennej úplne všetko, odkiaľ pochádza, kam ide, čo bude obsahovať, ... Mimochodom - tak v databáze predpokladám čisté dáta. Jedná sa mi o SQL injection a keby útočník dokázal vložiť dáta priamo do databázy, tak mu už je predsa jedno či aplikácia má dieru alebo nie.

3.) čo ma spôsob komunikácie spoločné s tým o čo sa mi tu jedná? Mimochodom "set character set utf8" a "set names utf8" mám default (ak ti ide o toto)

4.) mám x nových projektov kde samozrejme používam všetky nové vymoženosti - OOP, PDO, prepare, ... ale toto je jeden veľmi starý projekt ktorý používam ja a moja rodina a našiel som v ňom pár neošetrených vstupov, tak som to chcel poriešiť globálne (pričom ešte raz opakujem - keďže viem ako ten program presne pracuje a to do bodky, tak som si plne vedomí čo spôsobí ten môj výmysel). A možno sa ti to zdá zvláštne, ale ja mám aj rodinu, priateľov a prácu ktorej sa musím venovať a fakt si teraz nemienim brať dovolenku a stráviť týždeň nad prepisovaním blbostí.

5.) poslednú vetu nekomentujem, keďže je evidentné kam smeruje táto debata.

6.) neviem čo je také ťažké pochopiť jednoduchú otázku a namiesto ideologických kecov riešiť prísne technickú stránku veci. Ja mám vo zvyku už X rokov dávať každú premennú pri sql query do úvodzoviek (select X from table where ID="$_POST[ID]") a keďže predpokladám, že SQL injection sa celé točí v prvom rade okolo úvodzoviek (" ') a http vstupov ($_GET, $_POST, $_COOKIE, $_REQUEST - nepoužívam) tak predpokladám, že úplným odstránením úvodzoviek z premennej dosiahnem to čo chcem. A práve preto používam odstránenie a nie escapovanie, lebo som si plne vedomí čo by escapovanie spôsobilo. Áno, som prasa, som bastlič, som + dosaď si čo chceš + ale mňa zaujíma technické riešenie problému a nie ideologické dristy!