php - Mysql, php og ' " hjælp - Udvikleren.dk - Programmering, webdesign og grafik

Tags: mysql php help

Bruger #16738 @ 15.08.11 21:43

Er der nogen der ved hvordan i mit CMS system, når jeg opretter en nyhed at det er muligt at skrive ' og " ind. Da det er php gider den ikke udføre mine kommandoer.

4 svar postet i denne tråd vises herunder
1 indlæg har modtaget i alt 3 karma

Sorter efter stemmer Sorter efter dato

Bruger #10216 @ 15.08.11 22:03

4.283

http://php.net/manual/en/mysqli.real-escape-string.php

eller
http://php.net/manual/en/function.mysql-real-escape-string.php (men mysql udvidelsen udgår af PHP)

Indlæg senest redigeret d. 15.08.2011 22:03 af Bruger #10216

Bruger #16372 @ 15.08.11 21:45

519

PHP kode

 $text = addslashes($text);

Det sætter \ foran alle special tegn... det bør du i øvrigt altid gøre for at forebygge SQL-injections når en bruger indtaster noget der skal i en database

Bruger #16025 @ 15.08.11 21:46

442

Prøv engang at skrive noget af koden ind.
Ellers, så prøv at brug htmlspecialchars() i din $_POST.

Eksempelvis sådan her:

PHP kode

 $text = htmlspecialchars($_POST["text"]);

Bruger #16740 @ 17.08.11 04:23

-4

Kig ind til PDO istedet. http://php.net/manual/en/book.pdo.php

Så slipper du alt det der mysql_real_escape_string osv.. som bare er nedern at forholde sig til hele tiden

Du får fejl for at din query ser ud eksempel:
SELECT id FROM table WHERE id=$table

hvilket er stor brist på sikkerhed (research sql injections for at læse om det)

brug ikke htmlspecialchars eller addslashes hvis nu vælger ikke at kigge ind til PDO (hvilket rekommenderes stærkt!) men hellere mysql_real_escape_string

Mysql, php og ' " hjælp

Karma barometer (30 dage)

Modtaget

Givet

Favorit hos
Forum tråde
Artikler