Witam

Napisałem do formularza funkcje mającą na celu zabezpieczenie bazy przed atakami sqlinjection:

[PHP] pobierz, plaintext 
<?php
function sprawdz($dane)
{
	if (!get_magic_quotes_gpc())
	{
		$dane = mysql_real_escape_string($dane);
		$dane = addslashes ($dane);
		$dane = htmlspecialchars($dane, ENT_QUOTES);
	}
		return $dane;
}
?>
[PHP] pobierz, plaintext 

dane do sprawdzenia wprowadzane są tak:

[PHP] pobierz, plaintext 
<?php
$login = sprawdz($_POST[login]);
$pass = sprawdz($_POST[pass]);
?>
[PHP] pobierz, plaintext 

Po wpisaniu do formularza danych:
i nie uległy one żadnej zmianie i w identycznej formie widoczne są bazie otworzonej w phpmyadmin

W czym może być problem?

PS. Czy połączenie tych trzech filtrów jest ok? Nie przekombinowałem?

Nie powinno byc przypadkiem tak?

[PHP] pobierz, plaintext 
<?php
function sprawdz($dane)
{
	$dane = mysql_real_escape_string($dane);
$dane = htmlspecialchars($dane, ENT_QUOTES);
if (!get_magic_quotes_gpc())
	{
		$dane = addslashes ($dane);
	}
		return $dane;
}
?>
[PHP] pobierz, plaintext 

Pamietaj ze magicquotes to tylko takie automatyczne addslashes. Swoja droga aby moc uzywac mysql_real_escape_string musisz miec otwarte polaczenie mysql. Dziwne to, ale tak to dziala.

w ten sposób faktycznie działa, co prawda spotykałem się juz z zapisem mysql_real_escape_string jest właśnie w tym ifie.


Czy stosowanie jednocześnie addslashes i mysql_real_escape_string to nie przesada? Bo chyba działają podobnie

Stosowanie addslashes i mysql_real_escape_string jednocześnie nie zabezpieczy cie przed niczym. Wyescape'uje niebezpieczny tekst podwójnie, a jak wiadomo podwójny backslash oznacza tyle co zwykły znak '\', co za tym idzie do niebezpiecznego znaku doda się tylko backslash traktowany jako zwykły znak.

nie do końca bo każdy znak traktowany jest przecież osobno