php - php database fejl. - Udvikleren.dk - Programmering, webdesign og grafik

Tags: php

Bruger #15047 @ 19.05.10 18:54

Hejsa..
Jeg har denne kode:

PHP kode

 public static function SI($string)
         {
             if(!get_magic_quotes_gpc()){
                 $string = addslashes($string);
             }    
             return htmlentities($string);
         }
     public static function insert($table, $boolean) 
         {
             $table = self::SI($table);
             $boolean = self::SI($boolean);
 
             $link = mysql_query("INSERT INTO " . self::db_prefix . $table . " " . $boolean);
             return $link;
         }
     }

Og jeg indsætter med:
$db::insert(users, "(`username`,`password`) VALUES (123, 123);") or die(mysql_error());

Det virker, men hvis jeg skifter værdierne 123 til noget andet f.eks. SUPERHEMMELIGKODE, så får jeg mysql fejl med at den ikke kan finde kolonnen SUPERHEMMELIGKODE. Og jeg har prøvet med noget '' eller "" samt \\, men intet af det virkede eller gjorde nogen forskelv. Så er lidt på bar bund. Hvad kan der være galt?

EDIT:
Jeg har fundet ud af at det var addslashes() som lavede fejlen. Hvordan kan jeg undgå dette, fordi jeg er ikke interesseret i at få sql injection

- Mvh Magnus.

Indlæg senest redigeret d. 19.05.2010 20:07 af Bruger #15047

Bruger #2695 @ 20.05.10 11:33

1.963

Du kunne bruge prepared statements med mysqli.

Bruger #15047 @ 20.05.10 11:41

Du kunne bruge prepared statements med mysqli.

Definere "prepared". Altså sådan at jeg forskrev forspøgelserne og gav dem et unikt ID, hvorefter jeg kalder det ID når det skal bruges, eller hvad mener du?

Bruger #2695 @ 20.05.10 13:34

1.963

http://www.php.net/manual/en/mysqli.prepare.php

Bruger #4821 @ 23.05.10 19:55

Og ellers skal du prøve

$db::insert(users, "(`username`,`password`) VALUES ('SUPERHEMMELIGKODE', 123);") or die(mysql_error());

php database fejl.

Karma barometer (30 dage)

Modtaget

Givet

Favorit hos
Forum tråde
Artikler