Gå til innhold

Sette opp en sperre for MYSQL - Injections ?

Thomas.

Av Thomas.
i Programmering og webutvikling

Anbefalte innlegg

Videoannonse

Videoannonse
Annonse
eifoerde

eifoerde

Skrevet
Skrevet (endret)

stemmer, ihvertfall på de sql injectionene som jeg har testet mot mitt eget script.

selv liker jeg å heller sette opp variablene slik:

 

$name = addslashes($name);

 

Er etter min mening mye mer ryddig når du kommer lenger nedover i koden.

vil egentlig anbefale å bruke strip_tags(); også, ihvertfall så lenge du ikke har behov for tegn som <>&%, for å være enda sikrere

 

$name = strip_tags($name);

$name = addslashes($name);

Endret av eifoerde
Lenke til kommentar
Thomas.

Thomas.

Skrevet
  • Forfatter
Skrevet
stemmer, ihvertfall på de sql injectionene som jeg har testet mot mitt eget script.

selv liker jeg å heller sette opp variablene slik:

 

$name = addslashes($name);

 

Er etter min mening mye mer ryddig når du kommer lenger nedover i koden.

vil egentlig anbefale å bruke strip_tags(); også, ihvertfall så lenge du ikke har behov for tegn som <>&%, for å være enda sikrere

 

$name = strip_tags($name);

$name = addslashes($name);

 

 

kan du si noen mysql-injections som jeg kan prøve på mitt eget script ??

Lenke til kommentar
loathsome

loathsome

Skrevet
Skrevet (endret)
stemmer, ihvertfall på de sql injectionene som jeg har testet mot mitt eget script.

selv liker jeg å heller sette opp variablene slik:

 

$name = addslashes($name);

 

Er etter min mening mye mer ryddig når du kommer lenger nedover i koden.

vil egentlig anbefale å bruke strip_tags(); også, ihvertfall så lenge du ikke har behov for tegn som <>&%, for å være enda sikrere

 

$name = strip_tags($name);

$name = addslashes($name);

 

Om jeg tør spørre, hva i alle dager er dette for noe tull? Vennligst ikke uttal deg om ting du tydeligvis ikke har peiling på. Nesten så det frister å vise hva SQL-injections faktisk er ;)

 

Det er helt riktig som onTop sier, det er mysql_real_escape_string () som skal brukes til dette formålet.

 

Jeg anbefaler å bruke en "wrapper"-funksjon som er basert på mysql_real_escape_string, slik som f. eks dette:

 

 

<?php

function quote_smart($value){
	if (get_magic_quotes_gpc()) {
			$value = stripslashes($value);
	}

	if( is_numeric($value) && strpos($value,',') !== false ){
			$value = str_replace(',','.',$value);
	}
	if( is_null($value) ){
			$value = 'NULL';
	}
	elseif (!is_numeric($value)) {
			$value = "'" . mysql_real_escape_string($value) . "'";
	}

	return $value;
}

?>

 

 

Og trådstarter, php_user; Du sier du har "hørt om en fyr bruke quote_smart", hva forhindrer deg fra å Google dette stikkordet? Til orientering er første treff på Google link til mysql_real_escape_string-siden i PHP-manualen, hvor det også står om "quote_smart ()" under "user contributed notes".

Endret av loathsome
Lenke til kommentar
Ernie

Ernie

Skrevet
Skrevet
stemmer, ihvertfall på de sql injectionene som jeg har testet mot mitt eget script.

selv liker jeg å heller sette opp variablene slik:

 

$name = addslashes($name);

 

Er etter min mening mye mer ryddig når du kommer lenger nedover i koden.

vil egentlig anbefale å bruke strip_tags(); også, ihvertfall så lenge du ikke har behov for tegn som <>&%, for å være enda sikrere

 

$name = strip_tags($name);

$name = addslashes($name);

 

Om jeg tør spørre, hva i alle dager er dette for noe tull? Vennligst ikke uttal deg om ting du tydeligvis ikke har peiling på. Nesten så det frister å vise hva SQL-injections faktisk er ;)

Siden du har så utrolig peiling kan du kanskje fortelle folk hvorfor mysql_real_escape bør foretrekkes? Det hjelper veldig, veldig lite å bare si at «sånn er det bare».

Lenke til kommentar

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!

Start en konto

Logg inn

Har du allerede en konto? Logg inn her.

Logg inn nå
Gå til emneliste
×
×
  • Opprett ny...