[crazzy]

Tror annars hnn tänkte på att du inte filtrerade $_GET['id'] nånstans.
htmlspecialchars() är en fin funktion för det.

edit: Se Clarence post nedan, htmlspecialchars är INTE en fin funktion

[Clarence]

Citat:

Ursprungligen postat av crazzy

Tror annars hnn tänkte på att du inte filtrerade $_GET['id'] nånstans.
htmlspecialchars() är en fin funktion för det.

Det är en funktion du kan använda för input/data som ska visas i t ex HTML. För input till (my)SQL bör du INTE använda den. Har du inte med ENT_QUOTES så escapar den t ex inte single quotes, vilket är den absolut vanligaste ingångsvägen till SQL injections. Och även om du sätter ENT_QUOTES så är den inte att anses som säker pga andra ingångsvägar.

Ett säkert kort är att använda databasmotorns egna escapes, t ex mysql_real_escape_string()/pg_escape_string(). Ett annat att använda prepared statements (se t ex mysqli_prepare).

[youheardit]

Citat:

Ursprungligen postat av Clarence

Det är en funktion du kan använda för input/data som ska visas i t ex HTML. För input till (my)SQL bör du INTE använda den. Har du inte med ENT_QUOTES så escapar den t ex inte single quotes, vilket är den absolut vanligaste ingångsvägen till SQL injections. Och även om du sätter ENT_QUOTES så är den inte att anses som säker pga andra ingångsvägar.

Ett säkert kort är att använda databasmotorns egna escapes, t ex mysql_real_escape_string()/pg_escape_string(). Ett annat att använda prepared statements (se t ex mysqli_prepare).

själv kör jag mysql_real_escape_string() vid alla input till databas.
men dem andra har jag inte stött på tidigare, får väll läsa mer om det då tackar!

[tartareandesire]

Citat:

Ursprungligen postat av youheardit

själv kör jag mysql_real_escape_string() vid alla input till databas.
men dem andra har jag inte stött på tidigare, får väll läsa mer om det då tackar!

Det var just det du inte gjorde i det här fallet Därav att det kom upp.