дырявый ли этот пхп код?

программирование php безопасность

допустим через _GET передается какая-нибудь строка и по этой строке делается выборка из базы
$a = mysql_real_escape_string($_GET['a']);
$result = mysql_query("SELECT * FROM table WHERE a='{$a}'");
С точки зрения безопасности код нормальный?

Примечание:
>Японский Городовой
Понимаю. В предыдущем я просто набросок сделал, чтобы смысл был ясен
Ответы:
В целом - да. Я еще предпочитаю добавлять trim(), xss-чистку, html_entities, но это существенно для записи, а для чтения и так должно быть нормально.
Ну, опять же, стоит длину проверять, и допустимость значения (тип).
можете коннектится от разных юзеров, в вашем случае разрешите выполнять только SELECT.
Этот код нормальный только для случая одного соединения к базе данных. В случае использования нескольких соединений mysql с разными кодировками могут быть проблемы, когда на одном соединении однобайтовая кодировка, а на другом - UTF-8, и используются не ASCII символы. Второй параметр в mysql_real_escape_string() надо передавать всегда. Так же как и в mysql_query().
Этот - нормальный.
Разницу с предыдущим, надеюсь, понимаешь?


15 лет назад

RPI.su - самая большая русскоязычная база вопросов и ответов. Наш проект был реализован как продолжение популярного сервиса otvety.google.ru, который был закрыт и удален 30 апреля 2015 года. Мы решили воскресить полезный сервис Ответы Гугл, чтобы любой человек смог публично узнать ответ на свой вопрос у интернет сообщества.

Все вопросы, добавленные на сайт ответов Google, мы скопировали и сохранили здесь. Имена старых пользователей также отображены в том виде, в котором они существовали ранее. Только нужно заново пройти регистрацию, чтобы иметь возможность задавать вопросы, или отвечать другим.

Чтобы связаться с нами по любому вопросу О САЙТЕ (реклама, сотрудничество, отзыв о сервисе), пишите на почту [email protected]. Только все общие вопросы размещайте на сайте, на них ответ по почте не предоставляется.