Hej!
Jag är TOTALT värdelös på att programmera, men har lyckats att knåpa ihop ett PHP-formulär för registrering av användare där jag vill implementera mysql_real_escape_string för att undvika SQL-injection.
Har jag gjort rätt? Hur kan jag testa att det fungerar?
Kod:
<?php
$con = mysql_connect("DB-SERVER","MIN-USER","MITT-PASS");
if (!$con)
{
die('Could not connect: ' . mysql_error());
}
mysql_select_db("MIN-DB", $con);
$grupp = "2";
$okrypterat = mysql_real_escape_string($_POST['Losenordet']);
$salt = "ETT-STATISKT-SALT";
$krypterat = md5($okrypterat.$salt).':'.$salt;
$datum = date("Y-m-d H:i");
$Namnet = mysql_real_escape_string($_POST['Namnet']);
$UNamnet = mysql_real_escape_string($_POST['UNamnet']);
$Eposten = mysql_real_escape_string($_POST['Eposten']);
$sql="INSERT INTO TABELL1 (name, password, username, email, usertype, registerDate)
VALUES
('$Namnet','$krypterat','$UNamnet','$Eposten','$grupp','$datum')";
if (!mysql_query($sql,$con))
{
die('Error: ' . mysql_error());
}
$anvid = mysql_insert_id();
$sql="INSERT INTO TABELL2 (user_id, group_id)
VALUES
('$anvid','$grupp')";
if (!mysql_query($sql,$con))
{
die('Error: ' . mysql_error());
}
echo "Account created. You can now login";
mysql_close($con)
?>