php - Sikring mod sqlinjektion - Udvikleren.dk - Programmering, webdesign og grafik

Tags: sql php

Bruger #15663 @ 20.09.11 15:07

Hejsa.

Hvad bør jeg anvende i forbindelse med sikring mod sql-injektion.
Jeg har altid anvendt

addslashes(strip_tags($_POST['variabel']));

Er det fint nok eller kan jeg sikre mig på andre måder som gør det bedre?

4 svar postet i denne tråd vises herunder
3 indlæg har modtaget i alt 11 karma

Sorter efter stemmer Sorter efter dato

Bruger #10576 @ 20.09.11 15:37

287

Det kommer an på din side. Jeg benytter typisk, hvis muligt, en whitelist. Ellers en blacklist, og opdele det på 2 metoder, en hvor du forventer at læse en int, og en hvor du forventer at læse en string. Typisk vil du jo nok kun ønske at læse tal, så der kan du sikre dig ekstra.

Benyt for guds skyld parametre, hvis du kører en php version, der understøtter dette.

Indlæg senest redigeret d. 20.09.2011 15:38 af Bruger #10576

Bruger #16043 @ 20.09.11 15:08

Vil tro mysql_real_escape_string() er bedre... men jeg ved det ikke.

Bruger #10216 @ 20.09.11 16:27

4.283

Benni mener "prepared statements".

http://www.php.net/manual/en/mysqli.prepare.php

til info udgår MySQL driveren og erstattes med den ny MySQLi driver

Bruger #15663 @ 20.09.11 15:56

415

Hej Benni.

Det lyder sørme fint...
Jeg fattede det bare ikke helt.

Kunne du skære det ud i pap så mindre begavede mennesker også forstår det?

Nu er det fx til et login script

Sikring mod sqlinjektion

Karma barometer (30 dage)

Modtaget

Givet

Favorit hos
Forum tråde
Artikler