mysql - Ang sql injections - Udvikleren.dk - Programmering, webdesign og grafik

Tags: mysql

<< < 1 2 > >>

Bruger #16445 @ 10.12.11 16:51

For at beskytte sig selv via sql injections i input felter, er det så nok at smide alle variabler fra de input felter ind i en addslashes eller skal der mere til?

PHP kode

 addslashes($brugernavn)

12 svar postet i denne tråd vises herunder
2 indlæg har modtaget i alt 6 karma

Sorter efter stemmer Sorter efter dato

Bruger #2695 @ 10.12.11 20:16

1.963

Som Mads Ravn siger, så bør man bruge PDOs og prepared statements. Det sikrer så ikke 100% mod SQL injection, medmindre man bruger det rigtigt :-)

Man kan jo stadig gøre noget i stil med:

Kode

$stmt = $pdo->prepare("SELECT * FROM some_table WHERE id=" . $id);

Bruger #10216 @ 10.12.11 21:35

4.283

PDO er et meget stort lag _oven_ på de direkte APIer... hvis der ikke er planer om at skulle supportere flere slags relationsdatabaser er PDO overflod.

Så se at få lært MySQLi driveren og dens prepared statements at kende, så er du godt på vej imod lidt mere sikker databasekommunikation.

<< < 1 2 > >>

Ang sql injections

Karma barometer (30 dage)

Modtaget

Givet

Favorit hos
Forum tråde
Artikler