mysql - Ang sql injections - Udvikleren.dk - Programmering, webdesign og grafik

Tags: mysql

<< < 1 2 > >>

Bruger #16445 @ 10.12.11 16:51

For at beskytte sig selv via sql injections i input felter, er det så nok at smide alle variabler fra de input felter ind i en addslashes eller skal der mere til?

PHP kode

 addslashes($brugernavn)

12 svar postet i denne tråd vises herunder
2 indlæg har modtaget i alt 6 karma

Sorter efter stemmer Sorter efter dato

Bruger #10281 @ 10.12.11 19:16

363

Den pæne løsning ville være at lade vær med at bruge den deprecatede mysql-extension. Jeg kan anbefale prepared statements fra PDO - så får du ingen problemer med SQL injection.

Bruger #3275 @ 10.12.11 19:05

1.736

Første parameter skal være forbindelsen til din database. Hvis du bruger det objektorienterede API skal du bruge

PHP kode

 $db = new mysqli(.....);
 $nick = $db->real_escape_string($_POST['nick']);

Bruger #16025 @ 10.12.11 16:55

442

Når du bruger, så vil jeg råde dig stærkt til at bruge mysql_real_escape_string, htmlentities og strip_tags. Et eksempel kunne se sådan ud:

PHP kode

 $brugernavn = mysql_real_escape_string(htmlentities(strip_tags($_POST["brugernavn"])));

Du kan læse en del her:
http://www.google.dk/search?gcx=w&sourceid=chrome&ie=UTF-8&q=php+sql+injections

Bruger #15663 @ 10.12.11 16:57

415

Daniele, hvorfor 3 forskellige og hvorfor ikke addslashes?

Jeg spørger til det fordi jeg ikke selv ved hvad jeg skal anvende.

Bruger #16025 @ 10.12.11 17:04

442

Jeg bruger aldrig addslashes, og det er sådan set kun fordi at jeg aldrig har fået testet det. Men jeg bruger primært mysql_real_escape_string fordi at jeg har aldrig har haft problemer med det, og jeg er blevet rådet til det rigtig mange gange.

Strip_tags syntes jeg også er ret god - den er jeg også blevet rådet til mange gange

.
Men jeg vil altid råde til mysql_real_escape_string.

Bruger #16445 @ 10.12.11 17:31

110

Jeg prøvede lige og smide mysql_real_escape_string ind, men får så denne fejl:

Warning: mysql_real_escape_string() [function.mysql-real-escape-string]: Can't connect to local MySQL server through socket '/var/run/mysqld/mysqld.sock' (13) in

Og der er lavet en database forbindelse inden?

Bruger #16025 @ 10.12.11 17:42

442

Er du sikker på at database forbindelsen fungere?

PHP kode

 $host = "localhost"; // eller ip
 $dbuser = ""; // database brugernavn
 $dbpass = ""; // database adgangskode
 $dbname = ""; // database navn
 
 $con = mysql_connect($host, $dbuser, $dbpass);
 $db = mysql_select_db($dbname, $con) or die("Error: ". mysql_error());
 
 if(!db) {
     die("Something wrong!");
 }

Bruger #16445 @ 10.12.11 17:46

110

Ja 100% for siden fungere ganske udemærket, bruger dog mysqli hvis det har noget at sige med real escape string

Bruger #15663 @ 10.12.11 17:58

415

så skal du jo også bruge mysqli_real_escape_string

Bruger #16445 @ 10.12.11 18:05

110

Ah ja det lyder logisk

Men så giver det bare en anden fejl nu nemlig:

Warning: mysqli_real_escape_string() expects exactly 2 parameters, 1 given in

PHP kode

 $nick = mysqli_real_escape_string($_POST["nick"]);

<< < 1 2 > >>

Ang sql injections

Karma barometer (30 dage)

Modtaget

Givet

Favorit hos
Forum tråde
Artikler