MySQL injections

mysql_real_escape_string()

Hej Ronnie

Takker for det hurtige svar.

Grunden til at jeg sprugte, er at jeg er ved at lave et SIMPELT db layer.

SQL sætninger bygges op som neden stående.

function my_addslashes($string)
{
    if (!get_magic_quotes_gpc())
    {
        $string = addslashes($string);
    }
        return $string;
}

function sql_string($sql,$input) {
	$sql = explode("''",$sql);
	
	$i=0;
	$sql1 ="";
	foreach ($sql as $del) {
		$sql1 .= $del;
		$sql1 .= "'".my_addslashes($input[$i])."'";
		$i++;
	}
	return substr($sql1, 0, -2);
}

echo sql_string("SELECT FROM test WHERE i='' AND s='' hvad sker der nu?",array($indput1,$test));

Vil gerne have en kommentar til koden.

Koden er naturligvis ikke færdig endnu, meninger er at mysql_qurey() skal puttes ind i sql_string.

hvad er ideen med at lave en function der tager queryen og input variabler, for at returnere queryen, i stedet for bare at skrive input variablerne det rigtige sted til at begynde med?

I øvrigt udlukker din metode såvidt jeg kan se da at man kan bruge '' i en query.

udover det så hvis du skal lave det ville jeg foreslå at du sendte input variablerne videre til en function der gjorde dem sql safe og returnere de sikre værdier også bruger sprintf

http://dk2.php.net/manual/en/function.vsprintf.php

Hej Jakob og Nørden

Tak for respons

Jakob:
hvad skal mysql_real_escape_string() være godt for. Hvad beskytter den som addslashes() ikke gør??

Nørden:
Der er ingen problem med at bruge '' i en query, her skal værdien i arrayet bare være tomt.

Grunden til at jeg ikke skriver variablerne direkte i SQL sætningen er at så kan jeg ikke validere dem hver for sig.

Meningen er ikke at funktionen "bare" skal returnere SQL sætningen igen, men lave DB kaldet og derefter returnere resultatet af forespørgslen.

Til sidst
Har kigget lidt på vsprintf() men kan ikke udmiddelbart se hvad den skal gøre.

Takker for svarerne.