Zawsze staram sie filtrowac zmienne wchodzace np. przez formularze, ale o ile doskonale wiem co robic ze zmiennymi liczbowymi (rzutowanie typu), to jak sie zabezpieczyc przed roznymi sql-injectionami zmiennych tekstowych? Np w formularzyku logowania odfiltrowuje (str_replace na puste) znak apostrofu ('). Ale obawiam sie, czy to wystarczy...
pozdrawiam!
Pełna wersja: dane wejsciowe
Przede wszystkim zastosuj strip_tags() lub htmlspecialchars().
No tak, mysle o tym, ale to bardzo ogranicza mi hasla i loginy - a ja sam na przyklad lubie miec przynajmniej jeden znak specjalny w hasle:]
Nie znam zbyt dobrze mechanizmow SQL injection - dlatego trudno mi ocenic zagrozenie:]
[php:1:63afcf79b4]<?php
$sql = "SELECT id FROM rusers WHERE login='" . $_POST['rlogin'] . "' AND pass=MD5('" . $_POST['rpass'] . "')";
?>[/php:1:63afcf79b4]
Czy w tym wypadku nie starczy mi usuniecie apostrofow?
Nie znam zbyt dobrze mechanizmow SQL injection - dlatego trudno mi ocenic zagrozenie:]
[php:1:63afcf79b4]<?php
$sql = "SELECT id FROM rusers WHERE login='" . $_POST['rlogin'] . "' AND pass=MD5('" . $_POST['rpass'] . "')";
?>[/php:1:63afcf79b4]
Czy w tym wypadku nie starczy mi usuniecie apostrofow?
addslashes() 
[manual:7c73756ae3]mysql_escape_string[/manual:7c73756ae3]
Chyba wlasnie o [manual:4cb6d82463]mysql_escape_string[/manual:4cb6d82463] mi chodzilo:)
Dzieki!
Dzieki!
To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę kliknij tutaj.