SimDaDim Skrevet 19. januar 2007 Del Skrevet 19. januar 2007 (endret) Hei Driver å koder litt php og mysql om dagen. Lest litt om mysql injections nå i det siste, og syntes dette var en morsom måte å få unødig tilgang. Uansett, viser seg at webhosten jeg bruker kjører php 5.2. Og ettersom jeg har forstått så er "mysql_real_escape_string" enablet som default ved spørringer mot databasen? Ihvertfall, hvordan kan jeg skru av denne ved en enkelt spørring? Jobber med et litet script der det kunne vært greit å hatt tilgang til å skrive direkte sql spørringer istedet for å gjøre det i phpmyadmin. Så, hvordan får jeg kjørt en mysql_query der "mysql_real_escape_string" IKKE fungerer. Altså, den setter ikke \ forran ' ? EDIT: Agh, f ta den 3ords regelen i tittelen da.... uffameg... Endret 19. januar 2007 av SimDaDim Lenke til kommentar
ZoRaC Skrevet 19. januar 2007 Del Skrevet 19. januar 2007 Tror du blander med "magic_quotes" nå. Det er den som setter inn "\", mens mysql_real_escape_string sikrer variabler når du kjøre de som parametere i funksjonen. For å få fjerne "\", bare kjøre "stripsslashes" med variabelen som parameter. Lenke til kommentar
SimDaDim Skrevet 19. januar 2007 Forfatter Del Skrevet 19. januar 2007 Hmm, ok. Skal prøve, se om det funker til det jeg mente. Men må sove nå, jobb kl. 07 i morra tidlig :S Takk for hjelpen sålenge Lenke til kommentar
Ståle Skrevet 20. januar 2007 Del Skrevet 20. januar 2007 (endret) mysql_real_escape_string() calls MySQL's library function mysql_real_escape_string, which prepends backslashes to the following characters: \x00, \n, \r, \, ', " and \x1a. og magic_quotes gjør det samme mht " og '. Men det er lurest å bruke mysql_real_escape_string() når man jobber med databaser. Så du kan bruker stripslashes() for å få de vekk igjen, men gjør ikke dette sånn at sciptet blir usikkert? Endret 20. januar 2007 av Ståle Lenke til kommentar
Ernie Skrevet 20. januar 2007 Del Skrevet 20. januar 2007 Hvor har du det fra at magic_quotes gjør det samme som mysql_real_escape_string? Såvidt jeg veit escaper den bare ', " og NULL-tegn. Lenke til kommentar
Ståle Skrevet 20. januar 2007 Del Skrevet 20. januar 2007 mht " mente jeg *rette rette* Lenke til kommentar
SimDaDim Skrevet 21. januar 2007 Forfatter Del Skrevet 21. januar 2007 Så du kan bruker stripslashes() for å få de vekk igjen, men gjør ikke dette sånn at sciptet blir usikkert? Jo, men tenkte å gjøre slik at på admin delen av scriptet så kan man skrive kommandoer direkte i sql slik at man slipper å gjøre større endringer i tabeller manuelt ved å klikke på hver eneste oppføring og endre Alla løsningen i phpmyadmin. Lenke til kommentar
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå