Jag tycker det är vettigt att kolla ALL indata. Ska ett id anropas med hjälp av $_GET? Kör då en enkel koll att värdet verkligen är numeriskt etc.
Kod:
if (isset($_GET['variabel'])){
//okej
} else {
//någon blev fel
}
Funktion skriven av Malte tidigare på Phpportalen:
Kod:
// En funktion att anvndas nr magic_quotes_gpc inte r satt. Fr att frhindra SQL-injections, eller i lidrigare fall MySQl-fel.
function db_escape ($post)
{
if (is_string($post)) {
if (get_magic_quotes_gpc()) {
$post = stripslashes($post);
}
return mysql_real_escape_string($post);
}
foreach ($post as $key => $val) {
$post[$key] = db_escape($val);
}
return $post;
}
Anropas med till exempel:
Kod:
$_POST = db_escape($_POST);
$_GET = db_escape($_GET);