stripslashes, mysql_real_escape_string ?

Tags:    php

jeg forstår sku ikke helt noget med disse funktioner :P

er dette rigtig? (har læst dk.php.net :) men skal være sikker før brug. for injection know, men skal være sikker på det er rigtige måde jeg bruger den på ...?
og skal den også bruges ved mysql insert, update osv?

Fold kodeboks ind/udKode 


stripslashes bør bruges af enhver php bruger ... ?
hvorfor :/ ? hvad sikkerhed er der i denne funktion



undskyld jeg spørger dum, men vil gerne have det på det rene nu :D

afse



6 svar postet i denne tråd vises herunder
1 indlæg har modtaget i alt 1 karma
Sorter efter stemmer Sorter efter dato
Ja det er rigtig!
mysql_real_escape_string($var) Gør at din streng er sikker, og ikke kan lave fejl i databasen...
dvs. at den også sætter \\\\ foran alle dine " og '



ja okey :) siger tak :P
så det er kun ved insert og update de er vigtige:P?



Ja.. og måske med delete hvis du lader brugeren skrive noget...



okey :)
så bare ved sikkerheds guide der havde han vist eksempel som select :) blev lidt forviret ^^



Den skal være ved *alle* SQL kald, overhovedet.

ellers risikerer du at en person skriver en SQL-kommando i fx et søgefelt - der skal du egentlig kun select'e, men hvad nu hvis han i søgefeltet skriver at den skal inserte? eller select'e noget data han ikke skal have fat i.

med mysql_real_escape_string sørger du for at folk ikke kan lave om på dine SQL-kald, og du skal således bruge det *hver* gang du smider variabler ind i et SQL-kald, uanset om det er select, insert eller update.



hmm, når jeg skriver mysql_real_escape_string(1234), skriver den bare det samme i datebase :/ ?
troede mysql_real_escape_string ville gå væk?






t