Witajcie, chcialbym rozwiazac jeden problem. Dotyczy on dodawania znakow unikowych dla danych w celu ich pozniejszego dodania do bazy. Odbywa sie to w sposob taki, ze w czasie jak wykonam addslashes przy wylaczonym automatycznym dodawaniu i wykonam funkcje echo dla tej zmiennej to widac dodane znaki ucieczki dla niebezpiecznych wpisow. Jednak po dodaniu owej zmiennej do bazy w bazie juz takich znakow nie widac. I tutaj pojawia sie moje pytanie, czy cos robie zle, czy sql robi cos niejawnie. Czy jest to zachowanie, ktorego moglbym sie obawiac. Jezeli w bazie tak to wyglada to czy po wyciagnieciu danych musze opuszczac slashe?


Drugie zapytanie dotyczy nazwy inputow, czy latwo zmienic ich nazwe i wyslac do skryptu. Jesli tak to czy opcja sprawdzania strony z ktorej wystapilo odwolanie bedzie dobrym rozwiazaniem.

Według ciebie to źle, że ich nie widać? Jeśli tak, to poczytaj podczepiony temat o SQL Injection, żeby się dowiedzieć co to w ogóle jest i na jakiej zasadzie działa. Bo z tego co widzę to na razie wiesz tylko, że "trzeba używać addslashes() żeby było bezpieczniej" ;]



nie

Nie przesadzajmy. Temat wskazany przez Ciebie juz jakis czas temu czytalem. Wydaje mi sie ze odpowiedzi na dokladnie te pytanie tam nie widzialem. Chodzi mi tylko o ten maly mankament. Jak to wyglada, pomijajac pewne wiadome:

$wejscie = addslashes(post);
echo $wejscie; //widac znaki unikowe
query(dodaje do bazy $wejscie);

w tej chwili jak zajrze bezposrednio do bazy to owych znakow nie widac (/). Chodzi mi tylko o to czy w tym konkretnym przypadku jest cos nie tak, czy wrecz przeciwnie, nie musze sie bac takiego zachowania.

Weźmy na przykład takie zapytanie:

[PHP] pobierz, plaintext 
<?php
mysql_query("SELECT is_admin FROM tabela WHERE user = '$_POST['user']'");
?>
[PHP] pobierz, plaintext 

Jeśli w formularzu zostanie wpisane "no_face" to zapytanie będzie poprawne:

[PHP] pobierz, plaintext 
<?php
SELECT is_admin FROM tabela WHERE user = 'no_face'
?>
[PHP] pobierz, plaintext 

Jeśli w formularzu zostanie wpisane "O'Brian" to zapytanie się posypie:

[PHP] pobierz, plaintext 
<?php
SELECT is_admin FROM tabela WHERE user = 'O'Brian'
?>
[PHP] pobierz, plaintext 

Wywali błąd wrong syntax near Brian

Jeśli w formularzu zostanie wpisane "cos' OR is_admin = 1 -- " to zapytanie będzie wyglądało tak:

[PHP] pobierz, plaintext 
<?php
SELECT is_admin FROM tabela WHERE user = 'cos' OR is_admin = 1 -- '
?>
[PHP] pobierz, plaintext 

Zapytanie zostanie wykonane, niestety ;]



Natomiast jeśli weźmiemy taki kod:

[PHP] pobierz, plaintext 
<?php
$_POST['user'] = addslashes($_POST['user']);
mysql_query("SELECT is_admin FROM tabela WHERE user = '$_POST['user']'");
?>
[PHP] pobierz, plaintext 

To nawet gdy w formularzu zostaną wpisane apostrofy, to zapytanie się nie posypie. Będzie wyglądało tak:

[PHP] pobierz, plaintext 
<?php
SELECT is_admin FROM tabela WHERE user = 'no_face'
?>
[PHP] pobierz, plaintext 

tak:

[PHP] pobierz, plaintext 
<?php
SELECT is_admin FROM tabela WHERE user = 'O'Brian'
?>
[PHP] pobierz, plaintext 

lub tak:

[PHP] pobierz, plaintext 
<?php
SELECT is_admin FROM tabela WHERE user = 'cos' OR is_admin = 1 -- '
?>
[PHP] pobierz, plaintext 

Ukośnik przed apostrofem to TYLKO INFORMACJA dla MySQLa, że nie należy tego apostrofu traktować jako część zapytania SQL (zakończenie danych tekstowych) tylko jako zwykły tekst (i jako zwykły tekst zapisać do bazy danych)

Dzieki, wlasnie takiej odpowiedzi szukalem.

A drgie pytanko, moge liczyc na opowiedz?