[emil123]

Hej!
Jag använder mysql real escape string för att skydda min sida av sql injection. Men mysql real escape fungerar bara när man hämtar information från databasen.(t.ex. SELECT FROM USER....).
När man skriver i databasen så fungerar inte mysql real escape string. T.ex. när man registrerar sig, skriver i gästbok osv. Om jag skriver ett sql injections kommand i gästbok så sparas den i databasen. Jag menar om jag skrev ' OR ''=' så sparas den i databasen som den är. Men om mysql real escape string fungerade så skulle ju denna vara så här: \' OR \'1\'=\'1. Är mysql real escape string bara för att skydda sig när man hämtar information från databasen?
Tacksam för svar.

[najk]

Det funkar i alla typer av frågor, oavsett om du gör en insert eller update, alltså inte bara vid en select. Du har nog något fel i din kod om du upplever problem. Du kan inte dela med dig av lite källkod så ser någon här snart felet..

[andi]

Citat:

Ursprungligen postat av emil123

...
Jag menar om jag skrev ' OR ''=' så sparas den i databasen som den är.
...

Det är ju exakt det som man vill åstadkomma, utan mysql_real_escape hade ju den delen av strängen inte tolkats som något som skulle sparas i databasen utan som en del av själva frågan.

[ChristianCarlsson]

Använd mysql_real_escape vid select/update/insert till databasen, och när du skriver ut information from databasen använd tex htmlspecialchars.

Eller har jag missuppfattat din fråga?

[emil123]

Citat:

Ursprungligen postat av najk

Det funkar i alla typer av frågor, oavsett om du gör en insert eller update, alltså inte bara vid en select. Du har nog något fel i din kod om du upplever problem. Du kan inte dela med dig av lite källkod så ser någon här snart felet..

Som Andi sa så skulle denna delen inte tolkats utan mysql real escape string. Så tackar.

Citat:

Ursprungligen postat av andi

Det är ju exakt det som man vill åstadkomma, utan mysql_real_escape hade ju den delen av strängen inte tolkats som något som skulle sparas i databasen utan som en del av själva frågan.

Tog bort mysql real escape string och la en sql injecton kommand(' OR ''=') och den blev en sifra i databasen. Nu förstod jag att utan mysql real escape string den delen skulle inte tolkats. Tack.

Citat:

Ursprungligen postat av ChristianCarlsson

Använd mysql_real_escape vid select/update/insert till databasen, och när du skriver ut information from databasen använd tex htmlspecialchars.

Eller har jag missuppfattat din fråga?

Du har förståt rätt. Tack för tipset om htmlspecialchars. Ska prova den.

[youheardit]

använder htmlspecialchars varje gång jag tar ut ur databasen! om du vill bli helt säker så använd den... här är hur du lir "skyddad"

PHP-kod:

 $string = 'hej på dej! <a href="minhemsida.se">minhemsida</a>';
$string = htmlspecialchars($string, ENT_NOQUOTES, 'UTF-8'); 


den kommer skriva ut: hej på dej! <a href="minhemsida.se">minhemsida</a> och ignorera att skapa länken...

[emil123]

Citat:

Ursprungligen postat av youheardit

använder htmlspecialchars varje gång jag tar ut ur databasen! om du vill bli helt säker så använd den... här är hur du lir "skyddad"

PHP-kod:

 $string = 'hej på dej! <a href="minhemsida.se">minhemsida</a>';
$string = htmlspecialchars($string, ENT_NOQUOTES, 'UTF-8'); 


den kommer skriva ut: hej på dej! <a href="minhemsida.se">minhemsida</a> och ignorera att skapa länken...

Tack för exempel. Vad är skilnad mellan htmlspecialchars och htmlentities ? De är ju lika.

[youheardit]

Citat:

Ursprungligen postat av emil123

Tack för exempel. Vad är skilnad mellan htmlspecialchars och htmlentities ? De är ju lika.

Har inte kollat på det, men när jag byggde ett kommentar-system så vart jag tvungen att använda mig av just htmlspecialchars, fast innan jag hittade htmlspecialchar så testade jag alla andra möjliga, är nästan 100% på att jag testade htmlentities och alla utom just htmlspecialchars gick utan resultat. kan oxå vara ett programmeringsfel av mig so mgjort att htmlentities inte funkade...

[etanders]

Citat:

Ursprungligen postat av emil123

Tack för exempel. Vad är skilnad mellan htmlspecialchars och htmlentities ? De är ju lika.

http://se2.php.net/manual/en/function.htmlentities.php

Där står följande: This function is identical to htmlspecialchars() in all ways, except with htmlentities(), all characters which have HTML character entity equivalents are translated into these entities.

[Magnus_A]

Htmlspecialchars översätter endast

Citat:

& " ' < >

Räcker för att göra outputen säker för publicering.
Htmlentities översätter även andra tecken vilket kan ha sin fördelar i andra sammanhang.