problem mysql

[31337]

Kod php:

<?php
mysql_connect('127.0.0.1','user','pass') or die('error');
mysql_query('insert into `tabelka` (`cos`,`cos2`) values (\'jakisbyle jaki text i 1234567\','.$_GET['jakas_zmienna'].')');
?>

taki przykłaowy kodzik nie działa, wie ktoś czemu?

[Mad_Dud]

Kod php:

<?php
mysql_connect('127.0.0.1','user','pass') or die('error');
mysql_query('insert into `tabelka` (`cos`,`cos2`) values (\'jakisbyle jaki text i 1234567\','.$_GET['jakas_zmienna'].')');
?>

taki przykłaowy kodzik nie działa, wie ktoś czemu?

Jaki błąd zwraca?
http://pl2.php.net/mysql_error

Nie możesz slashować apostrofów

Kod:

\'

no i "cos" .. nie wymaga apostrofów czy co Ty tam użyłeś.

Jaki to ma związek z bezpieczeństwem?
http://php.net
http://php.pl

[31337]

Nie możesz slashować apostrofów

to wyjaśnij mi jak bez używania " ma działać.

no i "cos" .. nie wymaga apostrofów czy co Ty tam użyłeś.

możesz dokładniej?

edit:
już sobie poradziłem. Problem tkwił w tym, że uczyłem się php z jakiejś pojeba**j książki, i nauczono mnie wstawiania quotów w argument tablicy.
edit2:
chociaż i z nimi dziala ehh, juz nie wiem co z tą bazą jest...

[TQM]

A nie prosciej uzywac ? zamiast podstawiania parametrow do stringa?
Robiac w ten sposob jak robisz pracujesz na naklejke 'SQL-Injection Rady' :-) a podajac ? w zapytaniu i przekazujac parametry podczas wywolania execute masz ten problem z glowy...

[31337]

nie zabardzo rozumiem, chodzi ci oto, żeby podawać zmienne w ten sposób?:
http://host.pl/skrypt.php?zmienna1&zmienna2

co do sql injection, to może się myle, ale wystarczy chyba magic_quotes_gpc = On ?

[ble34]

niewystarczy magic-quote
chodzi oto że w zmiennei $_GET lub $_POTS możesz podać wszytko
cobędzie jeśli z a $_GET['zmienna']
podstawisz jakieś zapytanie sql
wyjdzie np
insert into antek values(null,null,cośtam,\"$_GET[zmienna]\");
a $_GET[zmiena]=delete from antek where 1;
moga być problemy
dlatego wszelkie dane które pochodza od urzytkowników
musza być filtrowane