Аналог mysql_real_escape_string()

[Виталий Желтяков]

Столкнулся с проблемой - надо использовать mysql_real_escape_string() до подключения к БД. Соответственно, как вытекающее, нельзя использовать mysql_real_escape_string().
В интернете нашел следующий аналог:

PHP код:

 function sql_valid($data) {
  $data = str_replace("\\", "\\\\", $data);
  $data = str_replace("'", "\'", $data);
  $data = str_replace('"', '\"', $data);
  $data = str_replace("\x00", "\\x00", $data);
  $data = str_replace("\x1a", "\\x1a", $data);
  $data = str_replace("\r", "\\r", $data);
  $data = str_replace("\n", "\\n", $data);
  return($data); 
 } 


Насколько этот аналог безопасен?
Возможно ли провести sql-инъекцию, используя различные кодировки?

[Che Guevara]

Интересная замена функции mysql_real_escape_string(). Может поможет это...

[mv28jam]

Цитата:

Насколько этот аналог безопасен?
Возможно ли провести sql-инъекцию, используя различные кодировки?

А просто http://ru.php.net/manual/en/function.addslashes.php не хватит?
Входные параметры перекодируем в используемую кодировку или проверяем кодировку перед использованием.
Вообще всё зависит от степени паранои, даже при использовании только addslashes сделать иньекцию практически нереально.

[Виталий Желтяков]

Понятно дело, что addslashes может использовать вместо mysql_real_escape_string.
Но ...

Цитата:

Входные параметры перекодируем в используемую кодировку или проверяем кодировку перед использованием.

хотелось бы без перекодирования, т.к. у меня нагруженная система с большими потоками данных.

[mv28jam]

Перекодировать и не надо проверять просто, если не исходная кодировка то error.
http://ru.php.net/manual/en/function...k-encoding.php
Потестить на нагрузку, если не многокушает то вариант.