Stačí, když budete dávat vše co dáváte jako proměnné do WHERE aj kamkoliv jinam do db dotazu do ' (uvozovek) + escape ... tedy např.:
WHERE neco = \'' . mysql_real_escape_string($hovno) . '\' a nema sanci se do toho dostat
... UNION se vezme jak string, neprovede se, protože není ukončena podmínka WHERE a ukončená by mohl provézt pouze pokud by mohl vložit ' (uvozovku), což díky escape nemůže ... takže jednoznačná chyba programátora ;)
========================
WEB:
Publikační systém WAMOS
SEO:
SEO analýza zdarma
OPEN PROJECTS:
Studentský portál VUT
HOSTING:
WebGlobe.cz
ICQ:
313887644
EMAIL: xsuchy09(at)centrum.cz
========================