Citat:
Ursprungligen postat av crazzy
Tror annars hnn tänkte på att du inte filtrerade $_GET['id'] nånstans.
htmlspecialchars() är en fin funktion för det.
|
Det är en funktion du kan använda för input/data som ska visas i t ex HTML. För input till (my)SQL bör du INTE använda den. Har du inte med ENT_QUOTES så escapar den t ex inte single quotes, vilket är den absolut vanligaste ingångsvägen till SQL injections. Och även om du sätter ENT_QUOTES så är den inte att anses som säker pga andra ingångsvägar.
Ett säkert kort är att använda databasmotorns egna escapes, t ex mysql_real_escape_string()/pg_escape_string(). Ett annat att använda prepared statements (se t ex mysqli_prepare).