hrozi mi v tomto priklade sql injection ?

ak mam stranku na ktorej vyberam data z db napr.



iba vyberam data z db. stale vyberam len to meno tomas . nemam tam ziadny input kde by uzivatelia nieco zadavali. hrozi mi tu sql injection ?

ako ti moze hrozit sql injection ked nepouzivas ziaden uzivatelsky vstup?
nie nehrozy
ale to meno zrejme beries od uzivatela nie?ak hej tak podla toho ako ho spracujes

to je len fiktivny priklad. iba vyberiem data z db a zobrazim ich na stranke a chcel som vediet ci mi hrozi sql injection aj v takom pripade, nemal som v tom az tak jasno ale dik za odpoved

a este jedna otazka. ak mam horeuvedeny sql skript a to meno beriem z nejakeho inputu, ktory mam osetreny pomocou regularnych vyrazov tak, ze mozem vkladat len male a velke pismena, cisla a podtrznik hrozi mi sql injection ?

nehrozy.

si chcel povedat ze mozno nehrozi, nikdy to neni na 100% bezpecne

preto sa pytam chcel by som vediet ci ma nieco na 100% ochrani

odpovedal som ti jasne, z takto osetreneho vstupu ti sql injection nehrozy.
bud taky dobry a neoznamuj mi co som chcel napisat.
ps.
mozes si editovat prispevky
edit

nie, ale v tomto pripade su tie rgexp neprekonatelne

to tazko vediet ked nemame potuchy o php verzii ktoru pouzivas a ani to co mas v tabulkach atd. 100% ochrana je 100% nepristupny web.
napr ja mam php take co do retazca prida uvodzovky takze jsVulnerable nehrozi ak chces osetrit mysql pouzi ...addslashes uz netreba pri novych php verziach.

PHP mam najnovsiu verziu 5.nieco neviem presne. preco netreba addslashes ?
a naco v mojom pripade potrebujem do retazca pridat uvodzovky ? ak povolim vkladanie len pismen a cislis ziadne meta znaky nepotrebujem osetrovat

| Nepis viac prispevkov za sebou, pouzivaj tlacitko Uprav. Ďuri

juho
To nemas take PHP, to je zapnute magic_quotes_gpc, akesi automaticke addslashes(). Ibaze je to presne naopak, pri novsich verziach prave addslashes treba, kedze magic_quotes su "deprecated" a za chvilu budu odstranene. Vsetko zalezi od nastavenia v php.ini, odporucam si do skriptu zakomponovat taky kod, aby upravoval hodnoty v $_REQUEST podla vysledku fcie get_magic_quotes_gpc().
Broko71
Pokial mas na vstupe len cisla, pismena a podtrznik, nemalo by ti nic hrozit. Nejake mysql_real_escape_string() alebo podobne fcie tu su uplne zbytocne, aj tak by nic nespravili.