FAQ |
Kalender |
![]() |
#7 | ||
|
|||
Flitig postare
|
Om du använder mysql_real_escape_string($string) kom ihåg att anropa stripslashes($escapedString) när du hämta innehåll från databasen.
Annars kommer det du hämtar se ut så här: Let\'s Eat istället för Let's Eat Förresten, du borde läsa dig på MySQL injections, mysql_real_escape_string() löser en hel del men inte allt. Det går fortfarande att injecta en fråga som ser ut så här: mysql_query("SELECT * FROM users WHERE name = $name"); Se till att alltid skriva dina frågor så här: mysql_query("SELECT * FROM users WHERE name = '$name' "); Och glöm inte escapa alla strängar och kasta om alla tal (T.ex. $id = (int)$_GET['id'];) |
||
![]() |
![]() |
|
|