Ку всем.
В общем пишу свой инет проект, и сечас задумался о безопасност своего модуля для работы с базой, а именно MySQL.
Поискав в сети обнаружил у себя кучу SQL инъекций, от некоторых удалось избавится (на мой взгляд).
ну вот в общем и возник вопрос, реально ли обойти функцию mysql_real_escape_string .
Простой пример:

$id = mysql_real_escape_string($_GET['id']);
$title = $db->query("SELECT title FROM news WHERE id = {$id}");

если id присвоить например значение:
-1+UNION+SELECT+null,DATABASE(),null,null

будет небольшой инъекцией, от этого уйти можно например проверяя тип переменно или жестко устанавливая его.
Ну, а теперь собственно вопрос можно ли вставить подобное
-1+';+UPDATE+news+set+title=111

тоесть может ли mysql_real_escape_string пропустить кавычку (одинарную или двойную). Если да, то как с этим можно бороться.

| Сообщение посчитали полезным:

https://forum.antichat.ru/thread30641.html

И ВСЁ!!!!!!

| Сообщение посчитали полезным:

Спасибо за ссылку, значит делаем вывод:

если число, тогда intval
если строка, тогда mysql_real_escape_string

| Сообщение посчитали полезным:

Обрати внимание: magic quotes и прочая пое*нь ОТКЛЮЧЕНЫ!
переменные в одинарные кавычки и все
И можешь не беспокоится по поводу sql-inj

| Сообщение посчитали полезным: