Citat:
Ursprungligen postat av najk
Det funkar i alla typer av frågor, oavsett om du gör en insert eller update, alltså inte bara vid en select. Du har nog något fel i din kod om du upplever problem. Du kan inte dela med dig av lite källkod så ser någon här snart felet..
|
Som Andi sa så skulle denna delen inte tolkats utan mysql real escape string. Så tackar.
Citat:
Ursprungligen postat av andi
Det är ju exakt det som man vill åstadkomma, utan mysql_real_escape hade ju den delen av strängen inte tolkats som något som skulle sparas i databasen utan som en del av själva frågan.
|
Tog bort mysql real escape string och la en sql injecton kommand(' OR ''=') och den blev en sifra i databasen. Nu förstod jag att utan mysql real escape string den delen skulle inte tolkats. Tack.
Citat:
Ursprungligen postat av ChristianCarlsson
Använd mysql_real_escape vid select/update/insert till databasen, och när du skriver ut information from databasen använd tex htmlspecialchars.
Eller har jag missuppfattat din fråga?
|
Du har förståt rätt. Tack för tipset om htmlspecialchars. Ska prova den.