KATSTAT.RU-ТОП РЕЙТИНГ САЙТОВ С ОТДАЧЕЙ
Уникальная онлайн игра! ЗАЙДИ И ОЦЕНИ!
www.Add.Az WEB MASTER PLATFORMA, FORUM
Пиратская ферма, заходи, новичок
NEAR wallet - mine HOT в Telegram
WorldByte - Наш хостинг - партнер

Топ дня: РЖАВЫЙ VIP


if (isset($_POST['name_ap'])) {
mysql_query("UPDATE `users` SET `name` = '".strip_tags(htmlspecialchars(mysql_real_escape_string(trim($_POST['name']))))."' WHERE `id` = '".$user['id']."' LIMIT 1");
$_SESSION['msg'] = 'Имя измЕнено!';
die(header('location: /prof_con.php'));
}

________
посл. ред. 22.03.2018 в 15:00; всего 1 раз(а); by Cloud

RezzidenT, беда у него с кавычками)

Зачем тут лимит?

RezzidenT, Ну это же "Специалисты"!Вдруг `id` не auto_incrementЛишним никогда не будет

Расскажи мне, когда нужно использовать htmlspecialchars?

Ещё не хватает trim() и пару десяток других функций

упд^ и trim запихнул
________
посл. ред. 22.03.2018 в 15:18; всего 1 раз(а); by Avenax

Avenax, ну если честно,я уже и забыл,как спешиалчарс пишется Года 4-5 prepare`ом пользуюсь

Cloud, я сам пишу на пдо, это не меняет суть
запихнуть strip_tags(htmlspecialchars(mysql_real_escape_string(trim($_POST['name']))))
всё в одно, это жесть

Вы уверено в том, что можно писать без кавычек?

Функцию htmlspecialchars() рекомендую использовать на выводе, а не на вводе.