SQL-injections / säkerhet

Tja.

Jag brukar använda diverse funktioner för att skydda mig mot sql-injections. På skoj tog jag bort all inputvalidering men lyckades ändå inte "hacka" mig själv. Varför?

Exempel:

$username = $_POST["username"];
mysql_query(" SELECT email FROM users WHERE username = '$username' ");

Om jag postar data ' OR id='1' borde detta ge:

mysql_query(" SELECT email FROM users WHERE username = '' OR id='1' ");

men ger den ofarliga:

mysql_query(" SELECT email FROM users WHERE username = '\' OR id=\'1' ");

Oavsett om det är en textarea eller vanligt textfält. Är det min webbläsare som skyddar mig?

Tack tack

Edit: mysql 5.0 och php 5.2.3

Näe, det här har inget med din webläsare att göra, det är mer troligt att magic_quotes eller nåt liknande är ställt till on på din webserver så att du får dina enkelfnuttar escapeade ändå.

Ok. Betyder detta att jag är safe sålänge serverkonfigurationen förblir oförändrad?

Magic quotes-metoden (som väl inte ens stöds längre i nyare version av php?) rekommenderas inte att man använder, kör på mysql_real_escape_string() istället för att sanitera textindata.

Eftersom rekommendationen uppkommit av en anledning så får man ju dra slutsatsen att du troligen inte är safe med endast detta påslaget, nej.

Bra tänkt.

Har dock sökt lite på Google o det verkar som att det huvudsakliga missnöjet är att man blir så beroende av serverkonfiguration. En uppdatering och man är öppen för injections hur lätt som helst. Hanterar man konfigurationen på rätt sätt borde det inte va nått problem.

Chansen att någon går och känner på din dörr när du inte är hemma är inte så stor, men du låser väl ändå dörren?

ergo: ta inte något för givet, skriv inga program som förutsätter att miljön ser ut på ett eller annat sätt.

Kloka ord. Tack för hjälpen!