SQL иньекции

БИРЖА РЕКЛАМЫ С ПРЯМЫМИ ССЫЛКАМИ

Печать RSS

431

Богдан 23.12.2010 / 23:03 Автор
Пришелец

Как защитится от sql иньекции не используя эту штуку со слешами возле кавычек? А то как-то не красиво получается.

Владислав 23.12.2010 / 23:06
Кодер

через mysql_real_escape_string() нужно пропускать строку.
$_GET,$_POST,$_SERVER

Изменил: Владислав (23.12.2010 / 23:07)

Богдан 23.12.2010 / 23:10 Автор
Пришелец

2. Nervоus, можна поподробнее?

Женек 23.12.2010 / 23:50
Дедушка

<?

$name = $_GET['name'];
$name = mysql_real_escape_string($name); // экранируем спецсимволы

$query = mysql_query("SELECT * FROM table WHERE name='".$name."'");

?>

Изменил: Женек (23.12.2010 / 23:57)

Удаленный 24.12.2010 / 00:32
Дух

А если нет бд

Добавлено через 01:53 сек.
А если нет бд $name = htmlentities(stripslashes($_GET['name']));

ZaRiN 24.12.2010 / 01:48
Клуракан

Если бд нету - нету и sql инъекций ;)

Добавлено через 00:58 сек.
Для защиты от xss достаточно будет htmlspecialchars()

valakas 24.12.2010 / 02:17
Пацак

тупые вопросы задает имхо

ZaRiN 24.12.2010 / 02:59
Клуракан

Автор, можешь почитать на досуге http://thiswap.com/2010/08/06/bezopasnost-pri-napisanii-skriptov/

Константин 24.12.2010 / 07:31
Пришелец

mysql_real_escape_string

iNeeXT 24.12.2010 / 19:18
Пришелец

<?
/* Функция защиты от нежелательных действий */
function protect($text)
{
	return trim(mysql_real_escape_string(htmlspecialchars($text, ENT_QUOTES, 'utf-8')));
}

и фильтрируешь protect($_POST['name']);

Для выполнения действия необходимо авторизоваться!

Стикеры / Теги / Правила / Топ тем / Топ постов / Поиск