Цитата:
Сообщение от Azo
например получаем текст типа имени пользователя или другого размером до 10 символов
Не правильно - $name=$_POST["name"];
Правильно - $name=substr($_POST["name"],0,10);
// и тогда злоумышленники не смогут запихать в переменную целые строчки кода типа AND DELETE FROM table
|
Посмотрите на функцию
mysql_real_escape_string. Вроде обычно ее используют для предотвращения инъекций.