Input escape - mysql_real_escape_string

ivanhoe · 10. 03. 2007.

koliko sam uspeo da shvatim, ukoliko koristis latin ili utf8 enkoding, razlike nema (jer utf8 ima takav raspored karaktera da nema sanse da se baza "zbuni"). Ukoliko koristis neke druge enkodinge onda addslashes ne radi jer nije safe za rad sa multibajt karakterima, a takodje ni mysql_escape_string, jer on valjda koristi enkoding veze, a ne enkoding baze...

Sto se efikasnosti mysql_real_escape_string tice bilo bi logicno da drajveri za bazu kesiraju te podatke, a cak i da ne kesiraju, enkoding je meta podatak koji svaka tabela "zna napamet", tako da je provera toga u bazi veoma brza, pogotovo kad je baza u lokalu...

ima raznih perfomance freakova na netu, a nikad nisam cuo da neko kritikuje mysql_real_escape_string, tako da sumnjam da tu ima nekog problema...

srdjevic · 11. 03. 2007.

mysql_escape_string je zastarela.
mysql_real_escape_string koristis za eskejpovanje podataka za koriscenje u upitima. (pa se jos provlaci kroz addcslashes() za koriscenje u LIKE segmentima upita)
addslashes() se koristi za generalno eskejpovanje, i vrlo se retko koristi u praksi, s obzirom da se u bazi sve drzi...

bluesman · 11. 03. 2007.

srdjevic: to je ono sto svi znamo (mada se ne slazem za addslashes a i srocio si vrlo cudno sva 3 objasnjenja), mene interesuje neki praktican primer.

Ivan · 11. 03. 2007.

Ako hoces primere poseti ona dva linka koja sam ostavio u proslom postu ...

bluesman · 11. 03. 2007.

Posetio sam te linkove odmah, medjutim to nije nesto sto me je zainteresovalo. Tu se radi o specificnom slucaju sa kineskim charsetom i moze da odgovori na deo pitanja, medjutim interesuje me prica o "pravom zivotu" a ne ove fantazije.

ivanhoe · 11. 03. 2007.

kao sto sam vec napisao, za plain ascii i za utf8 nema ama bas nikakve razlike sta ces koristiti...

bluesman · 11. 03. 2007.

To sam i mislio, i na osnovu svih mojih testova nisam primetio nikakvu znacajnu razliku, ali sam hteo da proverim.

Ilija Studen · 11. 03. 2007.

Sa #9 si "ubio" diskusiju pošto su upravo "fantazije" situacije gde se addslashes() i mysql_real_escape_string() razlikuju.

Ima par zanimljivih stvari u SitePoint diskusiji koji je Chris Shiflett linkovao u addslashes() Versus mysql_real_escape_string() članku (prvi link u Ivanovom postu). Jedna od zanimljivijih je upravo poreklo funkcije: addslashes() je deo PHP-a i može se reći da je funkcija opšte namene dok je za mysql_real_escape_string() odgovoran MySQL community i specijalizovan je za rad sa MySQL-om.

Uostalom, ne vidim neki veliki problem ovde. Manje više stvar ukusa, a ako ne želiš da razmišljaš o ovakvim stvarima koristiš preporučeno rešenje i uživaš.

10. 03. 2007.	#1
ivanhoe Ivan Dilber Sir Write-a-Lot Datum učlanjenja: 18.10.2005 Lokacija: Bgd Poruke: 5.320 Hvala: 104 2.344 "Hvala" u 583 poruka	koliko sam uspeo da shvatim, ukoliko koristis latin ili utf8 enkoding, razlike nema (jer utf8 ima takav raspored karaktera da nema sanse da se baza "zbuni"). Ukoliko koristis neke druge enkodinge onda addslashes ne radi jer nije safe za rad sa multibajt karakterima, a takodje ni mysql_escape_string, jer on valjda koristi enkoding veze, a ne enkoding baze... Sto se efikasnosti mysql_real_escape_string tice bilo bi logicno da drajveri za bazu kesiraju te podatke, a cak i da ne kesiraju, enkoding je meta podatak koji svaka tabela "zna napamet", tako da je provera toga u bazi veoma brza, pogotovo kad je baza u lokalu... ima raznih perfomance freakova na netu, a nikad nisam cuo da neko kritikuje mysql_real_escape_string, tako da sumnjam da tu ima nekog problema... __________________ Leadership is the art of getting people to want to do what you know must be done.

11. 03. 2007.	#2
srdjevic profesionalac Professional Datum učlanjenja: 15.06.2005 Lokacija: Chicago IL, USA Poruke: 209 Hvala: 12 12 "Hvala" u 11 poruka	mysql_escape_string je zastarela. mysql_real_escape_string koristis za eskejpovanje podataka za koriscenje u upitima. (pa se jos provlaci kroz addcslashes() za koriscenje u LIKE segmentima upita) addslashes() se koristi za generalno eskejpovanje, i vrlo se retko koristi u praksi, s obzirom da se u bazi sve drzi...

11. 03. 2007.	#3
bluesman Goran Pilipović Sir Write-a-Lot Datum učlanjenja: 18.05.2005 Lokacija: Beograd Poruke: 5.450 Hvala: 288 1.247 "Hvala" u 446 poruka	srdjevic: to je ono sto svi znamo (mada se ne slazem za addslashes a i srocio si vrlo cudno sva 3 objasnjenja), mene interesuje neki praktican primer. __________________ Goran Pilipović a.k.a. Ugly Fingers Bradley f.k.a. bluesman I don't always know what I'm talking about but I know I'm right!

11. 03. 2007.	#4
Ivan Psychedelictrance freak Wrote a book Datum učlanjenja: 04.06.2006 Lokacija: Srbija, Beograd Poruke: 1.008 Hvala: 325 933 "Hvala" u 34 poruka	Ako hoces primere poseti ona dva linka koja sam ostavio u proslom postu ... __________________ Testiranje bezbednosti web aplikacija

11. 03. 2007.	#5
bluesman Goran Pilipović Sir Write-a-Lot Datum učlanjenja: 18.05.2005 Lokacija: Beograd Poruke: 5.450 Hvala: 288 1.247 "Hvala" u 446 poruka	Posetio sam te linkove odmah, medjutim to nije nesto sto me je zainteresovalo. Tu se radi o specificnom slucaju sa kineskim charsetom i moze da odgovori na deo pitanja, medjutim interesuje me prica o "pravom zivotu" a ne ove fantazije. __________________ Goran Pilipović a.k.a. Ugly Fingers Bradley f.k.a. bluesman I don't always know what I'm talking about but I know I'm right!

11. 03. 2007.	#8
Ilija Studen Direktor Kombinata Invented the damn thing Datum učlanjenja: 07.06.2005 Poruke: 2.669 Hvala: 44 119 "Hvala" u 64 poruka	Sa #9 si "ubio" diskusiju pošto su upravo "fantazije" situacije gde se addslashes() i mysql_real_escape_string() razlikuju. Ima par zanimljivih stvari u SitePoint diskusiji koji je Chris Shiflett linkovao u addslashes() Versus mysql_real_escape_string() članku (prvi link u Ivanovom postu). Jedna od zanimljivijih je upravo poreklo funkcije: addslashes() je deo PHP-a i može se reći da je funkcija opšte namene dok je za mysql_real_escape_string() odgovoran MySQL community i specijalizovan je za rad sa MySQL-om. Uostalom, ne vidim neki veliki problem ovde. Manje više stvar ukusa, a ako ne želiš da razmišljaš o ovakvim stvarima koristiš preporučeno rešenje i uživaš. __________________ activeCollab - Project Management and Collaboration Tool iz domaće kuhinje \| area51.rs - Blog

Alati teme
Pogledajte verziju za štampanje Pošaljite email-om ovu stranu
Način prikaza
Prebacite u linearni prikaz Hibridni prikaz Prebacite u prikaz po temama

Slične teme
Tema	Početna poruka teme	Forum	Odgovori	Poslednja poruka
Input Validation	eclipse	Sva početnička pitanja	4	08. 04. 2011. 04:13
html escape	ivanhoe	PHP	2	05. 07. 2009. 19:59
<input> array	misk0	Sva početnička pitanja	3	25. 06. 2008. 19:21
Stil za input value	blogowski	(X)HTML, JavaScript, DHTML, XML, CSS	10	23. 10. 2007. 20:04
Escape char iz mysql komandne linije.	Dragi Tata	SQL baze podataka - Sponzor: Baze-Podataka.net	11	05. 08. 2006. 15:35