Ämne: Sql injection
Visa ett inlägg
Oläst 2009-12-28, 20:10 #1
emil123s avatar
emil123 emil123 är inte uppkopplad
Medlem
  
Reg.datum: Aug 2009
Inlägg: 57
emil123 emil123 är inte uppkopplad
Medlem
emil123s avatar
 
Reg.datum: Aug 2009
Inlägg: 57
Standard Sql injection
Hej!
Jag använder mysql real escape string för att skydda min sida av sql injection. Men mysql real escape fungerar bara när man hämtar information från databasen.(t.ex. SELECT FROM USER....).
När man skriver i databasen så fungerar inte mysql real escape string. T.ex. när man registrerar sig, skriver i gästbok osv. Om jag skriver ett sql injections kommand i gästbok så sparas den i databasen. Jag menar om jag skrev ' OR ''=' så sparas den i databasen som den är. Men om mysql real escape string fungerade så skulle ju denna vara så här: \' OR \'1\'=\'1. Är mysql real escape string bara för att skydda sig när man hämtar information från databasen?
Tacksam för svar.
emil123 är inte uppkopplad   Svara med citatSvara med citat