Сообщение от
IceShock
Мне лично удобнее фильтровать строку на запретные символы через mysql_real_escape_string. Хотя и mysq_format тоже вариант, а это ограничение не гарантирует полной защиты т.к длинна названия переменных может быть везде разной, и ввод э-майла аналогично, как и само кол-во взлома переменных.
- - - Добавлено - - -
В паблик модах многим пофиг на использование его или mysql_real_escape_string. А по поводу файлов то нет, на них нет иньекций, там же символы SQL кода. Взлом через что-то другое, явно внутренняя дыра, либо команда хорошо замаскированая, или что-то в диалог забабахали, ищи все ассоции с переменной админки, в том числе и по инклудам, наверняка на что-то наткнешся))