Ozwald Skrevet 18. februar 2007 Del Skrevet 18. februar 2007 Jeg har en database med navn på en haug av sanger, problemet er bare at jeg vil at brukere skal kunne se på en liste av sangene, også klikke på en sang og deretter får mer informasjon om den bestemte sangen. Jeg vil ikke ha noen scriptkiddies til å kødde til siden min, derfor må jeg bruke noen funksjoner for å sikkre informasjonen som blir sendt til databasen. Problemet er bare det at i mangen av sangene er det tegn som blir luket vekk av sikkerhetsfilteret, f.eks "Jack's Mannequin", dette blir da enten "Jack/'s Mannequin" eller" Jack;*something*s Mannequin" og da blir det feil for det er ikke det som står i databasen.. Hvordan kan jeg få søkt etter ' og fortsatt få det sikkert? Jeg vil helst ikke forandre på all informasjonen i databasen da det er veldig mye.. f.eks ved å base64 encode alt før jeg hiver det inn i databasen. Takk Lenke til kommentar
Runar0 Skrevet 18. februar 2007 Del Skrevet 18. februar 2007 (endret) http://www.php.net/manual/en/function.mysq...cape-string.php Bruk den på alle navn i databasen og på søkene, så bruker du stripslashes() når du skriver ut resultat Edit: Det er ikkje mulig å søke på eit navn med ' uten å gjøre det om til \'. Endret 18. februar 2007 av Shadows0 Lenke til kommentar
Ozwald Skrevet 18. februar 2007 Forfatter Del Skrevet 18. februar 2007 (endret) http://www.php.net/manual/en/function.mysq...cape-string.php Bruk den på alle navn i databasen og på søkene, så bruker du stripslashes() når du skriver ut resultat Edit: Det er ikkje mulig å søke på eit navn med ' uten å gjøre det om til \'. 7971913[/snapback] Det er med ander ord ike mulig å gjøre dette uten å forandre på all informasjonen i databasen? EDIT: Vel det funker nå! Etter jeg brukte mysql_real_escape_string, så får jeg ut resultatet spøsrmålet er bare om det er sikkert... ? Queryen sender nå " I\'m Ready", er dette sikkert? Endret 18. februar 2007 av Ozwald Lenke til kommentar
Runar0 Skrevet 18. februar 2007 Del Skrevet 18. februar 2007 Yepp vist du bruker mysql_real_escape_string på alle variabler i ein database spørring så er spørringen sikker Lenke til kommentar
stian90_2 Skrevet 18. februar 2007 Del Skrevet 18. februar 2007 ville kjørt htmlspecialchars() på alle rader i databasen, og når du søkte tok du htmlspecialchars også.. Søkert vil fungere da, og informasjonen ser heller ikke "fucka" ut Lenke til kommentar
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå