|
Flitig postare
|
|
Reg.datum: Mar 2008
Inlägg: 397
|
|
|
Flitig postare
Reg.datum: Mar 2008
Inlägg: 397
|
Om du använder mysql_real_escape_string($string) kom ihåg att anropa stripslashes($escapedString) när du hämta innehåll från databasen.
Annars kommer det du hämtar se ut så här:
Let\'s Eat istället för Let's Eat
Förresten, du borde läsa dig på MySQL injections, mysql_real_escape_string() löser en hel del men inte allt. Det går fortfarande att injecta en fråga som ser ut så här:
mysql_query("SELECT * FROM users WHERE name = $name");
Se till att alltid skriva dina frågor så här:
mysql_query("SELECT * FROM users WHERE name = '$name' ");
Och glöm inte escapa alla strängar och kasta om alla tal (T.ex. $id = (int)$_GET['id'];)
|